OracleLover, для редиректа нужно использовать коды 3XX: 301, 302 или 307. Response.Redirect() ведет себя правильно. И сайт paypal, кстати, тоже при редиректе использует код 302.

OracleLover, есть специальный заголовок Strict-Transport-Security который инструктирует _браузер_ автоматически (без обращения к серверу) заменять http на https. Для того чтобы это вступило в силу нужно хотя бы бы один раз зайти на сайт. В первый раз мы получим редирект с http на https, а при последующих сразу будем видеть запрос к https. Но это не значит что сервер сделал редирект с кодом 200 как ты думал. Код 200 это код успешного ответа с содержимым. Для редиректа используются только коды 3XX. Подробности смотри в wikipedia и в MDN .