Запросы шифруются на клиенте, идут по сети зашифрованными, и расшифровываются на сервере, а ответы - наоборот, а шифрование на автономном уровне (уровень ОС), специально ничего шифровать не нужно ни там, ни там, просто на сервере установить SSL-сертификат, на клиенте заменить http:// на https://