So scheint's mir zumindest.
Cookies kann man als Secure definieren, dann werden sie nur bei
HTTPS-Anfragen mitgesendet. In der HTTP-Variante kann man dann ein
weiteres Cookie setzen und den Webserver so konfigurieren, dass er
auf Anfragen mit diesem Cookie mit einem Location-Header mit der
Weiterleitung auf die HTTPS Variante antwortet.
Wenn man auf der noch sichereren Seite sein will, benutzt man eine
eigene SSL-Subdomain, auf der schlichtweg nix auf Port 80 läuft.
Cookies kann man als Secure definieren, dann werden sie nur bei
HTTPS-Anfragen mitgesendet. In der HTTP-Variante kann man dann ein
weiteres Cookie setzen und den Webserver so konfigurieren, dass er
auf Anfragen mit diesem Cookie mit einem Location-Header mit der
Weiterleitung auf die HTTPS Variante antwortet.
Wenn man auf der noch sichereren Seite sein will, benutzt man eine
eigene SSL-Subdomain, auf der schlichtweg nix auf Port 80 läuft.