non hai affatto bisogno di https, soprattutto se la comunicazione non deve passare dal browser.

puoi tranquillamente fare dei webservice ed usare degli headers per fare un handshake e assicurarti che chi ti fa la richiesta sia EFFETTIVAMENTE chi deve essere, ovvero il primo sito che contatta il secondo, o viceversa.

Se non vuoi lavorare con i webservice, puoi fare con XML-RPC

Se non vuoi usare neanche gli XML-RPC, dipende da quanta roba ti serve, ma in ogni casi ti basterebbe gestire l'autenticazione.

I dati, una volta validata l'autenticazione, puoi mandarli sia codificati, magari con una chiave che sanno SOLAMENTE chi fa la richiesta e chi la invia, ergo è scritta nel codice. Per la codifica puoi usare l'estensione mcrypt oppure una classe php, ad esempio blowfish, che ti faccia la codifica