TLS有兩種策略:簡單策略和交互策略。交互策略更為安全,但需要用戶在他們的瀏覽器中安裝個人的證書來進行認證。
不管使用了哪種策略,協議所能提供的保護總強烈地依賴于瀏覽器的實現和服務器軟件所支持的加密算法。
HTTPS并不能防止站點被網絡蜘蛛抓取。在某些情形中,被加密資源的URL可僅通過截獲請求和響應的大小推得,[11]這就可使攻擊者同時知道明文(公開的靜態內容)和密文(被加密過的明文),從而使選擇密文攻擊成為可能。
因為SSL在HTTP之下工作,對上層協議一無所知,所以SSL服務器只能為一個IP地址/端口組合提供一個證書。[12]這就意味著在大部分情況下,使用HTTPS的同時支持基于名字的虛擬主機是不很現實的。一種叫域名指示(SNI)的方案通過在加密連接創建前向服務器發送主機名解決了這一問題。Firefox 2、Opera8和運行在Windows Vista的Internet Explorer 7都加入了對SNI的支持。[13][14][15]
因為HTTPS連接所用的公鑰以明文傳輸,因此中國大陸的防火長城可以對特定網站按照匹配的黑名單證書,通過偽裝成對方向連接兩端的計算機發送RST包干擾兩臺計算機間正常的TCP通訊,以打斷與特定IP地址之間的443端口握手,或者直接使握手的數據包丟棄,導致握手失敗,從而導致TLS連接失敗。[16]這也是一種互聯網信息審查和屏蔽的技術手段。
如果Mac OS X中的家長控制被啟用,那么HTTPS站點必須顯式地在“總是允許”列表中列出。[17]