Akkor hogy értsd mire gondolt a kollega: ha a nyitóoldal http és van rajta belépő form, akkor ott mi akadályoz meg bárkit is, hogy az action részt átírja a saját igényeinek megfelelően (ott már hiába mutat https-re az action). A végfelhasználó ugyanis nem fogja a form forráskódját túrni, hogy vajon helyes-e az url.