Lo siguiente se usa con menos frecuencia, pero mejora mi respuesta anterior
Certificados de cliente
Un certificado de cliente cifrará la sesión TLS completa con "autenticación mutua" y protegerá la sesión de los ataques MITM y se puede usar en redes que no son de confianza.
Usar DNSSec
Utilice DNSSec para todos los dominios DNS utilizados en la aplicación, es decir, la ubicación del servicio y todas las rutas CRL, AIA y OCSP en la cadena
VPN
Las llamadas a la API a través de una VPN pueden mejorar la seguridad, y si la VPN requiere certificados implementados localmente, el beneficio de seguridad puede ser el mismo que el de los certificados de cliente.
Una variación de esta respuesta es usar ToR con el servidor de destino que tiene una dirección .onion, pero no se recomienda para el público en general.
Si el servicio web está utilizando SOAP, o WS-Security considera usar seguridad de mensajes. La seguridad de los mensajes se ha descrito como la interpretación WS- * de TLS pero dentro de una carga útil XML. Eso significa que estas llamadas SOAP se pueden usar a través de HTTP simple y se pueden transmitir a través de varios intermediarios que no son de confianza.
Advertencia para usuarios de Javascript
No intentes usar SOAP con seguridad de mensajes con Javascript. No hay manera de crear y administrar de manera segura el par de claves que se necesita para los mensajes SOAP. Además, existen otras preocupaciones como el uso de dominios cruzados, el análisis XML, etc.