grazie a tutti!

la chiave sul server e sul client mi sembra la cosa migliore..
pensavo esattamente a quello.
magari un DAS a 128 bit..

il sito cmq è solo di supporto al db..
molto probabilmente non sarà utilizzato nemmeno un nome di dominio, ma direttamente l'ip della macchina..
no indicizzazione, no pubblicità, ecc..
le persone che usano la chiave sono fidate, quindi se la riconoscono guardando l'html col client non succede niente.

Adesso vedrò come è messo il server su cui andrà installato l'applicativo..magari conviene ancora openssl!

per curiosità: su apache x windows esiste il modulo openssl oppure c'è solo per linux?

ciao