Ваш prod
сайт принимает все подключения HTTPS на всех IP-адресах и служит им независимо от заголовка хоста, представленного клиентом.
Для изменения той привязки, чтобы только принять соединения, которые имеют корректный заголовок хоста необходимо будет вспыхнуть инструменты командной строки IIS. Удалите существующую привязку https, которая принимает все запросы, затем выполняет что-то вроде этого в (наращиваемой контролем учётных записей) командной строке, заменяя моим предположением о названии сайта IIS для корректной информации:
cd \windows\system32\inetsrv
appcmd set site /site.name:"prod" /+bindings.[protocol='https',bindingInformation='*:443:prod.site.com']