Я установил для файла cookie .ASPXAUTH значение только https, но я не уверен, как эффективно сделать то же самое с ASP.NET_SessionId.
Весь сайт использует HTTPS, поэтому cookie не должен работать как с http, так и с https.