Zum Thema SSL:
Es hätte ja eigentlich genügt, die Seite, die empfindliche Daten - und das ist nur die Login-Seite wegen des Passwortes - abzusichern, dann wär die verunsichernde Browser-Meldung weg gewesen.
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen? Dann hätte es keine Probleme mit den allermeisten Tools gegeben, soweit diese nur Seiten abrufen, für die man sich nicht einloggen muss.
Ich halte nicht sonderlich viel von der Zwangsbeglückung mit SSL, soweit es unnötig ist. Man sollte dem User die Wahl lassen.
Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert (was auch ein wenig Know How benötigt, so dass das nicht jeder auf Anhieb kann) hagelt es böse, rote Fehlermeldungen im Browser und ich sage mal "die meisten" Benutzer finden den Knopf nicht, das abgelaufene Zertifikat trotzdem zu akzeptieren und sind dann damit komplett ausgesperrt. Doof, wenn man dann nicht mehr mit normalo-HTTP auf die Seite kommt. Dann geht nämlich gar nichts mehr.
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab. Ein Schloss mit gelben Warndreieck (wegen mixed content) kommt eh nicht gut.