non mi è chiaro cosa non ti è chiaro

cioè, il discorso ssl è semplice: sia la pagina che invia i dati (quindi con il login form) che quella che li riceve (quindi che controlla la correttezza, che fisicamente potrebbe anche essere lo stesso script) devono essere servite dal server via https.
Poi cambia poco se i dati se li mandi in maniera sincrona o asincrona.