So che lo davi per scontato (si capiva), solo volevo sottolineare che senza un riconoscimento "automatico" del certificato da parte del browser, l'end point remoto (per lo meno quello verso cui viene fatto il tunneling) potrebbe non essere nemmeno un server Web (come scrivevi), ma un proxy!

Tutto qui... sottile differenza...