ふむぅ。、、、、サーバ（非SSL）→ SSLアクセラレータ（SSL) → ロードバランサ（SSL）って環境でも面倒ですよね・・・

レスポンスに Set-Cookie: がすでに存在する場合には、

このせいでブラウザ側では secure属性を認識できず。 ダミーの Cookie でも追加してそっちに憑依させるしかないかな。。