Goed, ik heb de oplossing gevonden. Het probleem is dat de tijd in maxAge toegevoegd aan de huidige datum. Dus aan de browserzijde was de cookie ingesteld om te verlopen op de weergegeven GMT-tijd.
Het probleem was het volgende:ik gebruik een virtuele machine om node.js te testen, en, weet je... soms onderbreek je je machine.
Wat er gebeurde, is dat de machine twee dagen te laat was. Dus telkens wanneer de cookie aan de serverzijde werd geplaatst, dacht de clientzijde dat de cookie al was verlopen, aangezien mijn hostmachine geen twee dagen te laat was.
Weer een stomme uitkomst.