Penso che se segui Usa Discourse come identity provider (SSO, DiscourseConnect) o Configura DiscourseConnect - Single-Sign-On Ufficiale per Discourse (sso) allora tutto è crittografato tra il server e il client.
Se non vuoi che discourse conosca gli indirizzi email effettivi, le cose saranno più difficili.