Jen jedna poznámka k HTTPS: teoreticky by se to mělo chovat z pohledu prohlížeče stejně, ale na doménu, kterou nevlastníte, těžko dostanete certifikát od public CA. Reálně tu jsou pak asi dvě možnosti, u kterých je ale potřeba dobře vědět, co děláte:
a. Mít nedůvěryhodný (např. self-signed) certifikát, odkliknout výjimku a ideálně ji schválit trvale. To asi nechcete radit běžným uživatelům (ale těm asi ani nebudete radit hosts…). Pokud například ve Firefoxu (a asi i jinde, ale tam si nejsem jistý) schválíte výjimku trvale, funguje to jako takové TOFU (trust on first use) – při změně certifikátu nebo veřejného klíče (nejsem si 100% jistý) to bude spojení brát za nedůvěryhodné. Navíc můžete zkontrolovat hash. V podstatě jako u SSH. (Nemůžete se spolehnout na serial number, to si útočník ve svém certifikátu může zvolit libovolně.)
b. Vlastní CA, kterou nainstalujete na všechny relevantní počítače. Teoreticky možné, pak je ale potřeba privátní klíč střežit jako oko v hlavě – taková CA totiž může (pokud to neomezíte) podepisovat nejen certifikát k Vašemu webu, ale i libovolný jiný. Vlastní CA navíc má volnější pravidla, například se pro ni nevyžaduje certificate transparency. Záměrně nebudu linkovat žádný návod, tady to chce dobře vědět, co děláte, ideálně to míť jen v omezeném testovacím prostředí. Možná by se dalo omezit platnost na nějakou vlastní TLD, kterou byste si sami zvolili.