Acontece que o problema era nosso sistema CMS, Sitefinity. Ele tem uma propriedade de página chamada "usar SSL" e, se não estiver definida (o padrão), redirecionaria explicitamente as solicitações seguras para não seguras. Para corrigir, no web.config, altere o
<cms defaultProvider="Sitefinity" pageExtension=".aspx" disabled="false" pageEditorUIMode="Overlay" sslRedirection="ToHttpsOnly">
O bit importante é: sslRedirection="ToHttpsOnly"