Hi,

Problem, der htaccess-Schutz greift ja vorher, also muß man erst die Benutzerdaten eingeben, diese werden im Klartext gesendet, dann kommt erst das Zertifikat, und im IE muß man sich danach nochmals anmelden.

ja, selbstverständlich. Du leitest auf einen anderen Server um, für den die vorherige Authentifizierung nicht gilt. Dass es sich faktisch um den gleichen Server handelt, weiß außer Dir niemand - nicht mal der Server selbst, und am wenigsten der Client.

Hat jemand einen Tip wie man sowas besser macht, also _erst_ die Verschlüsselung und _dann_ die Anmeldung?

Klar: Keine Authentifizierung unter HTTP verlangen. Wie Du das machst, bleibt Dir mit der Dokumentation (http://httpd.apache.org/) unterm Kopfkissen vorerst selbst überlassen ;-) Solange Du bei HTTP _und_ HTTPS den Passwortschutz offen hälst, wird sich der Client zwei Mal anmelden müssen.

Naja, Du kannst natürlich auch einen Browser programmieren, der sich anders verhält, und diesen hinreichend verbreiten... :-)

Cheatah