mikhail_nЕсть у меня смутное чувство, что для Digest'a придётся на каждого клиента по цифровому сертификату ставить - оно Вам надо?
вроде не надо - все описано в RFC 2617 Сервер выдает случайную последовательность, клиент возвращает имя юзера открытым текстом и хэш, вычисленный (MD5) на основании имени пользователя, пароля и случайной последовательности, полученной с сервера. Сервер делает тоже самое и сверяет полученное значение.
Плохо, что на клиенте выскакивает "левое" окошко - для запроса пароля и логина, а также есть проблема первичной регистрации - клиенту изначально как-то надо сообщить пароль.

mikhail_nВообщем - SSL и нех... голову ломать. Если для внутреннего пользования - сами себе можете сертификат слабать, если для наружи - придётся дяде заплатить немного американских деньгов.если не трудно, ткни носом как можно сделать сертификат самостоятельно - это ж что-то вроде сервера сертификатов ставить надобно...
И второй вопрос: почему наружу я не могу воспользоваться самодельным сертификатом? - ну у клиентов будет предупреждение, что сертификат неизвестен, но обмен-то все равно будет шифроваться? или регистрация сертификата нужна для защиты от подмены? Если не трудно - примерно сколько стоит годовой сертификат и где его можно получить?