BigIPというロードバランサ経由でクライアント証明書を渡す方法がみつからないという困難はともかく、web.xmlのセキュリティ属性にCONFIDENTIALを指定してもHTTPからHTTPSにリダイレクトしないとは、どうゆう了見だ。ただアクセス権限なしエラーを返すとは。そりゃ、リンク元でＨＴＴＰＳ://xxxx/SECUREPAGE.jspみたいに書き直せはいいだろうけど、相対URLで記述できないうえにサーバ名から直書きしなければならないとなると製造も保守も大変すぎるだろう。
なに考えてんだろう。ちなみにWeblogic8.1では、そんなおバカな動きはしません。ちゃんと、リダイレクトしてくれます。