Tengo un escenario similar que explica por qué esto podría ocurrir (y no, no hay una razón para tener un dominio no seguro que no sea tal vez para admitir a un cliente no actualizable realmente antiguo o hacerlo inseguro a propósito).
Aquí está la historia detrás de cómo terminó teniendo diferentes dominios y solo 1 con SSL:
Solía trabajar para una fábrica de software. Desarrollé un eCommerce para un cliente. Necesitábamos tenerlo funcionando antes de un día en particular. Tenemos todo en funcionamiento, pero HTTPS aún no estaba configurado (al menos, el pago con tarjeta de crédito se realizó en un sistema externo redirigido a través de HTTPS, por lo que no se pudieron capturar las tarjetas de crédito ... bueno, tal vez, phishing). El cliente compró 2 nuevos dominios para el nuevo eCommerce y, después de un tiempo, apuntamos el dominio de su antiguo eCommerce al nuevo (por lo que terminó con más de un dominio). Íbamos a agregar HTTPS en la segunda fase del desarrollo, pero nuestra empresa se rompió y nunca pudimos hacer esto.
Después de un tiempo, un compañero de trabajo comenzó a trabajar independientemente para este cliente, y necesitaban poner a disposición un punto final de HTTPS para que otro sistema externo pudiera enviar solicitudes (actualización de stock o algo similar) y rechazaría una conexión que no fuera de HTTPS. Así que lo ayudé a establecer SSL en uno de los dominios. Los otros dominios no obtuvieron un certificado SSL porque el freelancer ya estaba trabajando muchas horas sin pagar adicionales y no tenía tiempo suficiente para configurar todo correctamente.
Le aconsejamos al cliente que realmente debería asegurar todas las conexiones, pero desafortunadamente dieron prioridad a otras cosas.
Por lo tanto, el sitio tiene un dominio con SSL y otros dominios sin este (con la misma funcionalidad exacta)