Esta es probablemente una pregunta tonta, pero ¿puedo hacerlo de forma segura con solo HTTP auth o todavía me beneficio de la autenticación de resumen incluso si el servidor ya está en SSL?¿Aún necesita usar la autenticación resumida si tiene SSL?
La única ventaja que obtendría al utilizar autenticación HTTP Digest sobre SSL/TLS es evitar la revelación de la contraseña del usuario al servidor, si su servidor se puede configurar con contraseñas directamente en el "HA1 format" (es decir, si no necesita conocer la contraseña en sí, pero donde la contraseña del usuario se puede configurar con MD5 (nombre de usuario: dominio: contraseña), sin requerir la contraseña en claro, consulte Apache Httpd por ejemplo).
En la práctica, esto no es realmente una gran ventaja. Hay mejores alternativas si se requiere proteger la contraseña del servidor (en particular porque MD5 no se considera lo suficientemente bueno de todos modos hoy en día).
Las otras funciones de la autenticación HTTP Digest (sobre el formulario/HTTP básico) ya las proporciona la capa SSL/TLS.
A través de ssl basic auth es lo suficientemente seguro para la mayoría de las necesidades.
Tenga en cuenta que, a partir de 2015, Digest admite SHA-256 y SHA-512/256: https://tools.ietf.org/html/rfc7616#section-3.2 –