Questa è probabilmente una domanda stupida, ma posso eliminare in modo sicuro con la semplice autenticazione HTTP di base o ancora traggo vantaggio dall'autorizzazione digest anche se il server è già su SSL?Hai ancora bisogno di usare l'autenticazione digest se sei su SSL?
L'unico vantaggio che si ottenere utilizzando l'autenticazione HTTP Digest su SSL/TLS è quello di impedire la divulgazione della password utente per il server stesso, se il sever è in grado di essere configurato con password in "HA1 format" direttamente (cioè se non ha bisogno di conoscere la password stessa, ma dove la password utente può essere configurata con MD5 (nome utente: realm: password), senza richiedere la password in chiaro, vedere Apache Httpd per esempio).
In pratica, questo non è davvero un grande vantaggio. Ci sono alternative migliori se è richiesta la protezione della password stessa dal server (in particolare perché MD5 non è considerato abbastanza buono oggigiorno).
Le altre funzionalità dell'autenticazione HTTP Digest (su modulo/HTTP Basic) sono già fornite dal livello SSL/TLS.
Attraverso l'autenticazione di base ssl è abbastanza sicuro per la maggior parte delle esigenze.
Nota che dal 2015 Digest supporta SHA-256 e SHA-512/256: https://tools.ietf.org/html/rfc7616#section-3.2 –