Como punto genérico: el correo electrónico es no seguro; en particular, no está cifrado, ni cuando se almacena, y (posiblemente) tampoco cuando se transfiere. Si los dioses le sonríen hoy, un correo electrónico determinado puede cifrarse cuando se envía (los servidores SMTP involucrados en la transferencia pueden utilizar oportunamente el cifrado TLS, y el destinatario puede descargar su correo electrónico a través de un SSL / Protocolo alimentado por TLS como IMAPS). Sin embargo, es difícil obtener garantías sobre ese tema. Además, el correo electrónico se almacenará como está (desprotegido) en el disco del servidor de correo, y las copias pueden conservarse durante algún tiempo en los discos duros de los servidores intermedios.
Por lo tanto, el contenido del correo electrónico, incluida la URL que apunta a sus imágenes adicionales, no puede considerarse "muy secreto". Si el atacante tiene la intención de poder acceder a estas imágenes, lo hará, independientemente de su uso de HTTPS o no para dichas imágenes.
En consecuencia, su pregunta solo marca la diferencia contra atacantes de bajo grado, o atacantes que están limitados a espiar en una parte específica de la red. Contra esos , HTTPS para las imágenes adicionales puede ser útil si las imágenes tienen algo que ocultar; es decir, el contenido de las imágenes es confidencial y / o la URL utilizada para recuperarlas contiene algunos datos secretos (de todos modos, si la URL es identificable, la imagen no permanecerá secreta por mucho tiempo, pero la imagen podría ser intrínsecamente pública mientras que la URL podría contener algo privado como un campo parecido a una contraseña).
La aplicación de HTTPS no dañará su seguridad (en comparación con no aplicarla), pero puede implicar una mayor carga en el servidor, no debido a la sobrecarga de cifrado (que es pequeña, mucho más pequeña de lo que generalmente se considera), sino debido a HTTPS tiende a evitar que los proxies almacenen datos en caché: si sirve la misma imagen a un millón de destinatarios, tendrá que hacerlo un millón de veces al usar HTTPS, mientras que con HTTP puede esperar que todos los destinatarios de la misma subred compartan el mismo proxy -cache. Al igual que con todas las cosas relacionadas con el rendimiento, esto debe medirse.