Solo en * .facebook.com se requiere el uso de un certificado SSL. Más específicamente, debe especificar una URL que comience con https: // para su URL de canvas a partir del 1 de octubre. Cuando https://apps.facebook.com/<YOUR_URL>
o https://www.facebook.com/<YOUR_URL>
carga su IFRAME, la url de IFRAME debe comenzar con https.
Sin embargo, no es necesario que admita SSL en su sitio web fuera de Facebook. Si usa Facebook para sitios web, no necesita hacer cambios en esa parte de su implementación de Facebook.
La idea es que un día todo el tráfico en facebook.com será https por defecto, y no quieren advertencias de contenido mixto cuando https: //*.facebook.com carga su URL IFRAME.
En su caso, debería estar bien: el requisito de SSL es para aplicaciones a las que acceden los usuarios a través de una URL de facebook.com (es decir, apps.facebook.com/something o en una pestaña de página) – Igy