Если между сервером и клиентом можно договориться о действительном сеансе SSL / TLS, тогда да.Это означает, что клиент должен быть готов доверять любому сертификату, который предоставляет сервер, и что обе стороны могут договориться о взаимоприемлемом наборе шифров (какие алгоритмы использовать и т. Д.).Существует множество опций конфигурации, которые вы можете установить, чтобы изменить то, что разрешено, но в «нормальной» реализации, где вы не возитесь с требованием конкретного, ненормального алгоритма, требующего аутентификации сертификата на стороне клиента и т.все должно работать нормально, и у вас будет защищенный сеанс ... и если по какой-то причине он не получится, вы узнаете, что ваш клиент получит сообщение об ошибке.
Обратите внимание, что вВ общем, хотя вы можете сделать это, и передача будет зашифрована, вы, как правило, не должны.Отправка незашифрованной / защищенной страницы на одну страницу делает вас уязвимым для нескольких типов атак «Человек посреди».Вы можете увидеть статью OWASP по этому вопросу, и почему это плохо, здесь .