mmm, cuando usas SSL (https) en ese instante en que envías el formulario hacia el server, el navegador encripta la petición http que el servidor recibe para luego desencriptarla, todo es automático, no tienes que hacer nada, los datos de sesión se almacenan en el servidor, lo único que utiliza php session es una cookie en el cliente para guardar el id.

en teoría si tienes un login en https es seguro, porque es muy difícil (pero no imposible) descifrar la contraseña, luego ya el usuario esta logeado y no hace falta tanto ssl, pero en el momento que pidas datos como el numero de tarjeta, es recomendable usar SSL.

pero SSL no te resolverá todo, ya que si tu sistema tiene debilidades de XSS, un malintencionado puede robarle el id se sesión a tu usuario y ya te imaginarás que puede hacerle, también es de suma importancia velar por implementar debidamente los tokens CSRF e inyecciones SQL. ahora el panorama se vuelve un poco negro no???, mucha suerte