Eu segui o conselho e instalei o TamperData e também registrei o tráfego com o Wireshark.
Resultado:
Não é o IIS, mas o cliente / navegador foi o culpado! O cliente sempre enviava uma solicitação para https://www.<domain>.com
pela porta 443, como as duas ferramentas mostravam. Por isso, limpei todos os caches nos navegadores e removi todas as exceções de segurança preexistentes (que uma vez eu aparentemente criei ao testar páginas SSL via IIS, pois meus certificados de domínio eram criados / assinados automaticamente). Agora, com todos esses distúrbios ocorridos, o cliente mais uma vez funciona bem comportado e só envia as solicitações que eu realmente o digito, já que não existem mais exceções que possam permitir que ele acredite que eu possa preferir uma tentativa de HTTPS.
Obrigado por me apontar na direção certa!