>・SSLに対応させるページを別なディレクトリに移動させるなどの対処が必要なのかどうか これは必要ではありません。Webサーバの設定でhttpとhttpsで同じディレクトリ、ファイルにアクセスする様にできます。 ただし、それはhttpでアクセスしても普通に動くという事ですから、既に運用されているサイトの場合、たとえば検索エンジンなどでSSL化されていない古いログインURLを見つけてアクセスしてくる人がいたりする可能性があります。あるいはタイプミスとか。 そういう意味ではディレクトリを分け、そのディレクトリをSSL経由でしかアクセスできない様にする（Apacheの場合、SSLRequireSSLでできますね）というのはメリットがあります。 しかし、スクリプト側でもURLを判断してSSL経由で無かったら弾くみたいな処理ができるでしょうから、やっぱりいらないっぽいです。 私は別ディレクトリに置くみたいな事はお勧めしません。しなくてもなんとかなる以上は。 >・SSL対応ページを他のディレクトリに移動させなければいけない場合、「非ログインでもアクセスできるが、ログインしていると表示が変わるページ」は両方のディレクトリに持たなければならないのか。 両方に置いた方が無難な気がしますが、片方のディレクトリにはwrapper的なものを置いてやる、という方法もあります。片方にアクセスがあると、もう片方のディレクトリに置いてあるスクリプトを読みに行くとか。 >・その他Tipsや陥りやすい間違い ・Cookieにsecure属性をつけとくとSSLで暗号化されてないサイトにはCookieを送らなくなったりします。 ・データを受け取るスクリプトだけでなく、データを送るフォームもきっちりSSL化してください。フォームが途中で改竄されて送られるのを防げます。