hi,

Ich habe gelesen (glaube, es war sogar hier im Archiv), dass htaccess-Zugänge nicht verschlüsselt seien, da die Kennwortabfrage vor der Verschlüsselung kommt.

Stimmt nicht.
Was meinst du, warum bei HTTPS noch nicht mal ein Hostname-Header im Request möglich ist? Eben, weil das SSL so früh wie möglich eingreift - sogar noch bevor der Client dem Server überhaupt mitteilen kann, welche Ressource er eigentlich haben möchte.

Wenn es doch so einfach ist, kann ich dann auch erreichen, dass der Login auch verschlüsselt wird, wenn das Verzeichnis mit http statt https aufgerufen wird?

In dem du HTTPS erzwingst, bzw. darauf umleitest - SSLRequireSSL, mod_rewrite o.ä.

gruß,
wahsaga