В принципе, в управлении JSESSIONID нет разницы, включен TLS / SSL или нет.
Большинство серверов приложений используют файлы cookie и / или перезапись URL для управления JSESSION.
Основное отличие, которое я знаю, заключается в том, что когда вы используете «безопасный cookie», JSESSIONID может управляться как с помощью cookie, так и с URL в HTTPS, но только с URL в HTTP.
Таким образом, если переход происходит через HTTPS и HTTP, проблема, как вы говорите, может возникнуть.