Yo creo que el problema es por el uso de ajax.

Lo normal sería tener un form de login en http, que envíe los datos a un script https, sin embargo, por el uso de ajax, para el navegador la sesión se inicia en http, por lo que al redirigir a https el navegador lo toma como otra sesión independiente.

¿Solución? desde mi punto de vista, si no tienes el form de login a la vista, cuando quieran hacer login, tener el login en https.

Si tienes dicho form a la vista (en la página principal) no usar ajax y enviar los datos del form de forma tradicional por post a una url en https.