Пара мыслей, может не в тему.

Чисто теоретически, весь кодинг должен заключаться в том, что для залогиненных юзеров все внутренние урл-ы должны будут начинаться с https://. Ну и для страниц регистрации и логина. По идее, вся остальная работа - прикручивание сертификатов к апачу, и к коду она относиться не должна.

Возможно эта фича должна быть опциональна, тут как минимум один пользователь высказывался крайне против SSL как технологии. Думаю, было бы неплохо сделать это дело отключаемым, но включенным по-умолчанию для всех зарегистрированных юзеров.

Для анонимусов, имхо, ssl не нужен - никакие секретные данные они всё равно не передают/получают, да и грузить сервер лишний раз не стоит.

Есть только вопрос, как будет вести себя роскомнадзор с его фашистской машиной? Не знаю, может ли их DPI узнавать урлы страниц, куда идёт запрос, или только хост? Чтобы не было такого, что роскомнадзор заблокирует весь хост из-за невозможности разбора пакетов, что неприятно. Хотя, теоретически, если анонимусы не будут иметь SSL, то и роскомнадзор не должен на это обращать внимания.

//анонимус, который тогда вспомнил про SSL, но не умеет perl.

У них нет DPI.