I seguenti sono usati meno frequentemente, ma migliorano la mia risposta precedente
Certificati client
Un certificato client crittograferà l'intera sessione TLS con "autenticazione reciproca" e proteggerà la sessione dagli attacchi MITM e potrà essere utilizzata su reti non attendibili.
Utilizza DNSSec
Utilizza DNSSec per tutti i domini DNS utilizzati nell'applicazione, ovvero la posizione del servizio e tutti i CRL, AIA e percorsi OCSP nella catena
VPN
Le chiamate API su una VPN possono migliorare la sicurezza e, se la VPN richiede certificati distribuiti localmente, il vantaggio di sicurezza potrebbe essere lo stesso dei certificati client.
Una variante di questa risposta è utilizzare ToR con il server di destinazione che ha un indirizzo .onion, ma non è raccomandato per il pubblico in generale.
Se il servizio web utilizza SOAP, o WS-Security, considera l'utilizzo della sicurezza dei messaggi. La sicurezza dei messaggi è stata descritta come l'interpretazione WS- * di TLS ma all'interno di un payload XML. Ciò significa che queste chiamate SOAP possono essere utilizzate su un semplice HTTP e inoltrate su più intermediari non attendibili.
Avviso per gli utenti Javascript
Non tentare di utilizzare SOAP con sicurezza dei messaggi con Javascript. Non è possibile creare e gestire in modo sicuro la coppia di chiavi necessaria per i messaggi SOAP. Inoltre, ci sono molti altri problemi come l'utilizzo di più domini, l'analisi XML, ecc.