httpとhttpsの両方を使っているサイトでは、https接続とhttp接続に同じセッションIDを使用していると暗号化されていないhttp接続の部分でセッションIDが盗聴される恐れがあります。 そこで、httpsで接続する際にはCookieにsecure属性をつけ、httpsの時のみcookieの内容を送信するようにします。
設定としてはphp.iniに下記を追加します。
session.cookie_secure = 1
これを追加した後アプリケーション(httpdやnginx, php-fpm)再起動することで設定が完了します。
