Я думаю, что если вы просто следуйте использованию Discourse в качестве провайдера идентификации (SSO, DiscourseConnect) или настройке DiscourseConnect — официального механизма единого входа для Discourse (sso), то всё будет зашифровано между сервером и клиентом.
Если вы не хотите, чтобы Discourse знал фактические адреса электронной почты, всё станет сложнее.