יש מעט Header-ים שצריכים להיכנס ל-Header של HTTP המוגן. ישנם Header-ים אחרים שהולכים ל-Header של HTTP, שהוא מכומס בתוך הודעת ה-SHTTP. ה-Header-ים האלו מוגדרים בתוך ה-SHTTP, אבל משתמשים בהם בתור Header-ים בתוך מסמך ה-HTTP, ז"א אי אפשר להשתמש בהם מבלי שיהיו מוגנים ע"י כימוס SHTTP.

Content-Privacy-Domain הוא בשביל התאימות עם HTTP מוגן מבוסס PEM. האפשרויות הן PKCS-7 של RSA, (הסטנדרט של הצפנת מפתח ציבורי 7) RFC-1421 של PEM ופורמט 2.6 של PGP.

Content-Transfer-Encoding מסביר כיצד התוכן של ההודעה מקודד. 7 ו-8 ביט מסבירים את עצמם, 64-מבוסס הוא כמו שמוגדר ב-RFC-1421.

 Content-Type הוא Header סטנדרטי, ובד"כ צריך להיות יישום/HTTP.

Prearranged-Key-Info הוא מידע על המפתחות שנמצאים בשימוש בכימוס של ההודעה הזו. שדות הם עבור סוג הקידוד, DEK (מפתח החלפת מידע – Data Exchange Key) שמשמש להצפנת ההודעה הזו, והזהות של המפתח שמשמש להצפין את ה-DEK. מידע-MAC הוא קוד הודעת אימות בכדי להבטיח שהודעה לא שונתה, או שלא "התעסקו" איתה, בלי ההוצאות של החתימות.

אלו הם ה-Header-ים של HTTP המוגן היחידים שמוגדרים במפרט. אף על פי כן, ישנם גם מספר Header-ים של HTTP חדשים שמוגדרים. אלו הן סכמות אבטחה, זהות הצפנה, שם של מחלקת DN-1485. שם של מחלקת Kerberos, מידע על האישור, מפתח מוקצה ודברים חד-פעמיים.

סכמות אבטחה מכילות את שם הפרוטוקול וגירסתו. זהות הצפנה מכילה את שם הישות שעבורה ההודעה מוצפנת, נניח במקרה של שרת עם מספר מפתחות ציבוריים. אפשרויות שם המחלקה (DN-1485 ו-Keberos) מאפשרות לישויות לומר כיצד הן מגדירות את עצמן ומי הן.

שורות המידע על האישור מאפשרות לשולח לשלוח אישור מפתח ציבורי בהודעה עם מטרות אחרות, ובכך חוסכים את הטרחה של קבלת אישור מפורש נפרד.

מפתח מוקצה הוא ההודעה שמשמשת עבור החלפת המפתחות האמיתית, והקצאת שמות סמליים למפתחות המוחלפים. להחלפת מפתח יש הרבה אפשרויות: לאפשר את כימוס המפתחות בדרכים שונות, נתינת שמות סמליים והקצאה של תקופת חיים (Lifetime) עבורם. תקופת חיים יכולה להיות 'this', שמשמעותו שהמפתח טוב עבור ההודעה הזו, או 'reply', שמשמעותו שהמפתח יכול לבוא לידי שימוש עבור תשובה (אולי עבור כמה תשובות) להודעה הזו.

דבר(ים) חד-פעמי(ים) הם מזהי הסשן, משמשים בכדי לציין את טריות הסשן ומניעות של תקיפות חוזרות. הודעה יכולה לכלול מספר דברים חד-פעמיים, מ-0 עד כמה. השרת בד"כ ייצור אותם, ויצפה מהלקוח שיגיב עם דבר חד-פעמי זהה. דברים חד-פעמיים בד"כ מבוססי זמן, אבל HTTP מוגן מציע שערך אקראי יהיה בשימוש. (מספרים אקראיים חזקים להצפנה, קשים ליצירה, אבל נראה שלחד-פעמי זה לא צריך להיות מאוד חזק)