Dem Nutzer ist bekannt, dass JavaScript für die Nutzung des Dienstes notwendig ist.

SSL kann sich der Kunde nicht leisten.

SSL/TSL kostet nichts, nur das Zertifikat sofern man ein signiertes möchte - und die sind für Wirtschaftsunternehmen wo es um Datensicherheit geht ein Butterbrot 200 Euro pro Jahr zahlt man idR. aus der Portokassa, da geht bei einem KMU mehr für Bleistifte und Kugelschreiber pro Jahr drauf.

Man benötigt einen HTTPS-fähigen Server, oder? Der kostet Geld.

Deine weiteren Ausführungen klingen Blauäugig betrachtet sicher schlüssig, ansonsten aber eher potentiell gefährlich weil man an zu vielen Ecken und Enden an Sicherheit(slücken) denken muss.

Und der Programmieraufwand dafür? Mehrere Stunden, wenn nicht Tage - dafür kann man sich eine Menge SSL-Zertifikate kaufen.

Vielleicht hat sich jemand diese Mühe schon einmal gemacht?
SSL/TLS per PHP und JavaScript nachzubilden; https-Ersatz?

Welche Verschlüsselungsstandards kann ich mit PHP und JavaScript standardkonform verwenden?