Dieses Thema war schon immer ein Anliegen von mir - die Antworten von Shopware leider immer die gleichen. Ich sehe es auch so, dass speziell das Backend verschlüsselt sein muss - es sei denn der Shopbetreiber schaltet das explizit ab. Das momentan das Backend quasi unverschlüsselt ist, und dort sehr sensible persönliche Daten enthalten und übertragen werden ist schon fast - ich würde sagen - fahrlässig. RewriteRules sind keine Lösung, da wie der Vorschreiber schon korrekt schreibt der erste Request unverschlüsselt ist, hier ist schon die Schwachstelle und sensible Daten sind mitunter hier schon übertragen worden. Für das Frontend sollte SSL optional auf jeden Fall auch möglich sein, eben unter dem Aspket „Extended Validation“ Zertifikate - haben wir auch. Der „Overhead“ ist zu vernachlässigen, die Server können so etwas leisten, die Clients auch locker und wenn man dann noch das SPDY Protokoll im Webserver unterstützt dann macht man nichts anderes was Google auch macht bei all seinen Produkten 
Ich hab ein Ticket gefunden das wir jetzt nur noch „hochvoten“ müssten: http://jira.shopware.de/?ticket=SW-7120 Einen ergänzenden Kommentar kann auch jeder dazu verfassen, falls der Kollege oder ich etwas vergessen haben sollten.