Cool, Danke für den Tipp. Das kannte ich noch nicht und habe dadurch gemerkt, dass mein Server noch TLS 1.0/1.1 zulässt, was ja mittlerweile eigentlich eher "bäh" ist. Hab mich dann mal direkt darum gekümmert.

Zur eigentlichen Frage: mir war das mit Indy/OpenSSL etwas zu nervig. Du musst immer im Blick haben, wenn eine neue OpenSSL-Version rauskommt und müsstest dann deine Server manuell aktualisieren. Außerdem ist das reguläre Indy-Release noch immer nicht kompatibel mit neuen OpenSSL-Versionen (auch wenn es Leute gibt, die sich dankenswerterweise darum kümmern). Ich habe mich daher dazu entschieden, einen IIS (unter Windows) bzw. einen Apache (unter Linux) als Reverse-Proxy vor meinen Delphi-Webserver zu hängen. Das heißt, die ganze Kommunikation und damit auch die Verschlüsselung nach außen läuft über IIS/Apache und die werden durch automatische Update aktualisiert, falls es mal Probleme gibt. Der Delphi-Webserver ist direkt von außen nicht erreichbar. Ich habe da zwar der Vollständigkeit halber auch https-Support mit Indy eingebaut, nutze den aber produktiv nicht.