Nunja, 'falsch' ist es insoweit, dass es müßig ist, sind die Einkaufsdaten nicht mehr verfügbar. Den Vorgang, Artikel in den Warenkorb zu legen, ohne dass (außer der IP-Adresse) über den noch-nicht-Besteller etwas bekannt ist, halte ich nicht für so sicherheitsrelevant, dass es einer verschlüsselten Übertragung bedürfte, daher mein Anliegen.
Da ich aber hierbei übersehen habe, dass auch vor dem Absenden einer Bestellung noch weitere Artikel geordert werden können, also 'von der Kasse zurück in den Laden', ist meine Überlegung tatsächlich 'unsinnig', solange der jeweilige Inhalt des Warenkorbs 'nur' in einer Sitzungs-Session gespeichert wird und damit beim Wechsel von HTTP nach HTTPS vice versa jeweils geleert wird, egal ob SSL-Proxy oder eigenes Zertifikat.