הודעת HTTP מוגנת היא שורת מצב או בקשה, שאחריה יש header-ים אחרים (חייב להיות תואם RFC-822), ואחריה איזשהו תוכן. התוכן יכול להיות מידע גולמי, הודעת HTTP מוגנת, או הודעת HTTP. שורת הבקשה מוגדרת כך:

Secure * Secure-HTTP/1.1

שהתשובה אליה חייבת להיות:

Secure-HTTP/1.1 200 OK

השורות הללו מוגדרות כדי למנוע מ"תוקף" מלראות את ההצלחה או הכישלון של בקשה מסוימת. HTTP מוגן נוקט בכלליות בגישה פרנואידית לכל סוגי המידע, כך ש"הדליפה" תהיה קטנה ככל האפשר.