yo creo que ahi dependeria de la informacion que vallas almacenar en las sesiones, todo eso realmente queda a criterio tuyo. no es que existan reglas para aplicar o no el protocolo seguro o encriptar ciertos datos, generalmente es conforme lo requieras y consideres.