Hallo!

Da die Übertragung aber unverschlüsselt passiert und man so das Passwort mitsniffen kann, wollte ich den Ordner über SSL aufrufen.

gute Idee!

Wird der Login und das Passwort schon per SSL übertragen, oder nicht? Der Browser sagt nein, aber nach meinem Verständnis müsste es doch eigentlich, oder?

SSL ist zwischen HTTP und TCP implementiert. Wenn Du einen Request (von einer nicht verschlüsselten Seite aus) auf eine verschlüsselte Seite durchfürst sieht das etwa so aus:

• erstmal fragt der Client irgendeine unverschlüsselte Seite ab
• der Server schickt die Seite ganz normal zum Client
• der Anwender klickt auf dieser unverschlüsselten Seite jetzt auf einen Link zu einer https-Recource
• der Client merkt dass er SSL verwenden muss, und kontaktiert den Server um mit ihm die Parameter für die SSL-Verbindung auszuhandeln
• bis hierher wurde noch kein HTTP übertragen
• wenn Server+Client alles geklärt haben, sendet der Client endlich den HTTP-Request, der entsprechend den Parametern veschlüsselt und übertragen wird...
• der Server bekommt den Request und entschlüsselt den, und sendet eine erneut verschlüsselte Antwort.
• diese Antwort ist die erste HTML-Datei die per SSL-verschlüsselt zum Client übertragen wurde, also erscheint jetzt das Schloss unten im Browser, und nicht eher.

Grüße
Andreas