这取决于您的部署环境.
使用您自己的加密协议替换SSL/TLS(和HTTPS)以供Web浏览器使用始终是一个坏主意,因为它依赖于不安全的JavaScript代码(例如,请参阅Security.SE上的此问题).
如果客户端不是Web浏览器,则可以使用更多选项.特别是,您可以实现消息级安全性而不是传输级安全性(这是HTTPS使用的).
有许多尝试使用HTTP标准化消息级安全性.例如:
HTTPsec有一个公共规范(仍然在WebArchive上可用),但是商业实现.我不确定这是否已被广泛审查.
WS-Security,面向SOAP世界.
也许更简单地说,如果要重用现有工具,可以使用S/MIME或PGP(与电子邮件相同的方式)加密HTTP消息实体.与HTTPS不同,这不会保护URL或HTTP标头,但如果您不在其中放置任何敏感数据,这可能就足够了.
您自己使用"原始加密"(例如直接使用AES),您越有可能需要手动实施其他安全方面(通常,验证远程方的身份并处理预先解决的问题)分享钥匙).