Como te habia comentado anteriormente son conceptos diferentes, en si un request AJAX es un request HTTP normal, PHP los ve igual, PHP no sabe si es por AJAX o por un form POST o GET normal a menos que tu se lo indiques en el request HTTP.

Es por eso desde el lado de PHP las cosas deben de ser iguales, con session_start() y validando los datos igual, no debes de cambiar nada más que tu respuesta (que en lugar de ser HTML ahpra será en JSON).

Posteriormente inyectas lo que necesites en tu DOM HTML, y como te comento el resultado lo tienes que comprobar desde PHP igual no cambia nada ya que AJAX en si es una tecnologia para el transporte de datos de forma asíncrona, pero de fondo es un request HTTP común y corriente, no cambia en nada como lo ves desde PHP.

La parte de SSL es totalmente independiente de PHP/AJAX/HTML, es parte del protocolo HTTP y sirve para el transporte de datos cifrados desde el cliente al servidor, por lo que si te interesa garantizar la seguridad de tus datos (cuando viajan del cliente al servidor o viceversa) si debes de usar SSL.

Si no te importa más que proteger los datos en el server (contra ataques etc.) SSL no te sirve de nada.

Saludos