globalsign の OSS 向け証明書提供プログラム に ruby-lang.org として申し込みをしたら、無事許可されてワイルドカード証明書を無償で手に入れることができた。globalsign++(グループ会社だけど...)
globalsign から証明書をダウンロードしてからは pkcs12 形式って何だよ!と色々調べたり、https://sslcheck.globalsign.com で SSL 強度チェックをして設定を調整したりして https の設定終わり。
他にも lists とか bugs も https にしちゃう予定だけど、これらは proxy_pass している奴らなのでちょっと一工夫が必要かな。まだ http も残しているけど、そのうち全部 https を使うようにリダイレクトしてしまうかも。続く。