Dies ist wahrscheinlich eine dumme Frage, aber kann ich mit nur einfacher HTTP-Authentifizierung sicher wegkommen, oder profitiere ich immer noch von Digest-Auth, selbst wenn der Server bereits auf SSL ist?Müssen Sie die Digest-Authentifizierung weiterhin verwenden, wenn Sie SSL verwenden?
Der einzige Vorteil, den Sie mit der HTTP Digest-Authentifizierung über SSL/TLS erzielen könnten, besteht darin, die Weitergabe des Benutzerkennworts an den Server selbst zu verhindern, wenn Ihr Server direkt mit Kennwörtern in "HA1 format" konfiguriert werden kann muss nicht das Passwort selbst wissen, aber wo das Benutzerpasswort kann mit MD5 konfiguriert werden (Benutzername: Realm: Passwort), ohne dass das Passwort in clear, siehe Apache Httpd zum Beispiel).
In der Praxis ist das nicht wirklich ein großer Vorteil. Es gibt bessere Alternativen, wenn das Passwort selbst vom Server geschützt werden muss (insbesondere weil MD5 heutzutage sowieso nicht gut genug ist).
Die anderen Funktionen der HTTP Digest-Authentifizierung (over form/HTTP Basic) werden bereits von der SSL/TLS-Schicht bereitgestellt.
Über ssl basic auth ist sicher genug für die meisten Bedürfnisse.
Beachten Sie, dass Digest ab 2015 SHA-256 und SHA-512/256 unterstützt: https://tools.ietf.org/html/rfc7616#section-3.2 –