Рівень захисту залежить від коректності запровадження браузерного і серверного програмного забезпечення і підтримуваних криптографічних алгоритмів.
Загальним недорозумінням середСеред користувачів кредитних карток в Інтернеті єіснує тепомилкова думка, що HTTPS повністю захищає номер карти їхньої від злодіїв. Фактично шифроване підключення до веб-сервера тільки захищає номер кредитної картки впри транзитіпередаванні між комп'ютером користувача і сервером безпосередньо. Це не гарантує що сервер безпосередньо захищений — він навіть може бути зламаним.
Напади на веб-сервери, щоякі зберігають дані клієнта, єздійснити як легші так і загальнішіпростіше, ніж намаганнянамагатись перехопити дані впри транзитіпередачі. Вважається що комерційні сайти негайно пересилають операції що поступають до шлюзу оплати і зберігають тільки операційний номер, але вони часто зберігають номери карт в базі даних. Звичайно сервер і база даних є ціллю для нападу.
== Посилання ==
Оскільки SSL діє на нижчому за HTTP рівні і не знає нічого щодо вищого протоколу, сервери SSL можуть тільки представити один сертифікат для специфічної комбінації IP адреса/порт. Це означає, що в більшості випадків HTTPS не використується для заснованого на імені віртуального хостінгу. (Це підлягає зміні в наступаючому TLS 1.1, який вирішить проблему заснованого на імені віртуального хостінгу. На грудень 2006 р. всі головні браузери підтримують нову властивість TLS — Вказівку Серверного Імені (Server Name Indication), але поки вона не використовується веб-серверами широко.)
* [https://tools.ietf.org/html/rfc2818 RFC 2818: HTTP Over TLS]
* [https://tools.ietf.org/html/rfc5246 RFC 5246: The Transport Layer Security Protocol 1.2]