Как мы можем зашифровать аутентификацию против домена Windows между Apache на Linux и клиентскими машинами, запускающими Windows и OS X?

Можно использовать Active Directory в качестве Kerberos KDC и использовать HTTP аутентификация SPNEGO (или Kerberos, если это не доступно). Это согласует аутентификацию с помощью Kerberos по HTTP (таким образом, пароль будет зашифрован среди других вещей). Active Directory хорошо работает против клиентских библиотек MIT Kerberos 5 (доступный на Linux и OSX), и конечно работы Active Directory с клиентом Windows. Оборотная сторона - то, что это требует дополнительных настроек на стороне клиента (браузер или клиент командной строки, я думаю svn может использовать MIT Kerberos 5).

С другой стороны, при доверии Apache администратор Httpd Вы могли бы использовать Active Directory в качестве сервера LDAP оттуда. Я не думаю, что это возможно с Дайджест-аутентификацией (это более сложно, потому что Вам был бы нужен хеш, чтобы быть в определенном формате на стороне LDAP), таким образом, Вам будет нужен Basic+SSL.

Я удивлен Вашей фабрикой замедления 15 относительно SSL, даже с большими файлами. Всегда существуют издержки для SSL/квитирования TLS, но издержки должны быть минимальными после этого (это становится почти незначительным с большими файлами на самом деле).