ya está!lo conseguí!hice lo de redireccionarlo si request.servervarible("HTTPS")=off y ya está....ahora tengo que pensar qué páginas quiero que sean seguras y cuales no. Es una tienda virtual, y de momento he hecho segura la página donde se solicitan datos bancarios, cuáles más me aconsejais?creeis que la de nuevos registros de usuario también deben serlo(se solicita dni, dirección,....)??

muchísimas gracias por todo,
Nuria.