wie wäre es mit HTTPS ?

Habe ich das richtig verstanden, dass ich statt http einfach nur https eingeben muss und schon wird alles verschlüsselt und sicher übertragen?

Nein:

1. Du musst das Verschlüsselungsmodul im Webserver aktivieren (Apache: mod_ssl).

2. Du musst dem Server ein Zertifikat verpassen, damit er sich gegenüber dem Browser ausweisen kann, der Browser also weiß, dass er mit dem verbunden ist, mit dem er verbunden sein will und nicht mit jemand anderem, der nur so tut, als wäre er der gewünschte Partner.
2b. Das Zertifikat muss beglaubigt werden, falls du deinen Besuchern jedesmal eine Warnung vom Browser antun willst, dass er die Echtheit des Zertifikates nicht feststellen kann (teuer bei Verisign & Co., umsonst auf diesem Wege).

3. Du musst dem Webserver sagen, dass er zusätzlich zum üblichen Port 80 für http-Verbindungen auch auf Port 443 für https-Verbindungen warten soll.

4. Wenn du schon so viel Arbeit reinsteckst, solltest du abschließend _alle_ Verbindungen, die unverschlüsselt reinkommen, auf die verschlüsselte umleiten. Es gibt keinen relevanten Grund, eine Verschlüsselung nur auf eine Handvoll Unterseiten anzuwenden.