Há uma resposta muito simples para isso: analise o desempenho do seu servidor da web para ver qual é a penalidade de desempenho para sua situação específica. Existem várias ferramentas disponíveis para comparar o desempenho de um servidor HTTP vs HTTPS (o JMeter e o Visual Studio vêm à mente) e são muito fáceis de usar.
Ninguém pode lhe dar uma resposta significativa sem algumas informações sobre a natureza do seu site, hardware, software e configuração de rede.
Como outros já disseram, haverá algum nível de sobrecarga devido à criptografia, mas é altamente dependente de:
- Hardware
- Software servidor
- Proporção de conteúdo dinâmico versus estático
- Distância do cliente para o servidor
- Duração típica da sessão
- Etc (meu favorito)
- Comportamento de armazenamento em cache de clientes
De acordo com minha experiência, os servidores pesados em conteúdo dinâmico tendem a ser menos afetados pelo HTTPS porque o tempo gasto na criptografia (sobrecarga de SSL) é insignificante em comparação ao tempo de geração de conteúdo.
Os servidores que prestam serviços pesados em um conjunto relativamente pequeno de páginas estáticas que podem ser facilmente armazenados em cache na memória sofrem com uma sobrecarga muito maior (em um caso, a taxa de transferência foi armazenada em uma "intranet").
Edit: Um ponto que foi levantado por vários outros é que o handshaking SSL é o principal custo do HTTPS. Isso está correto, e é por isso que "a duração típica da sessão" e o "comportamento de cache dos clientes" são importantes.
Muitas sessões muito curtas significam que o tempo de handshake sobrecarregará outros fatores de desempenho. Sessões mais longas significam que o custo do handshake será incorrido no início da sessão, mas as solicitações subsequentes terão despesas gerais relativamente baixas.
O cache do cliente pode ser feito em várias etapas, desde um servidor proxy em grande escala até o cache do navegador individual. Geralmente, o conteúdo HTTPS não é armazenado em cache em um cache compartilhado (embora alguns servidores proxy possam explorar um comportamento do tipo intermediário para conseguir isso). Muitos navegadores armazenam em cache o conteúdo HTTPS para a sessão atual e, muitas vezes, entre sessões. O impacto do não cache ou menos cache significa que os clientes recuperam o mesmo conteúdo com mais frequência. Isso resulta em mais solicitações e largura de banda para atender ao mesmo número de usuários.