3.4. TLS-протокол
Протокол безопасности транспортного уровня (Transport Level Security — TLS, RFC2246) обеспечивает шифрование и аутентификацию канала, который сформирован прикладным протоколом с использованием ТСР-протокола. Несмотря на то, что TLS-протокол был специально разработан для использование в WWW-серверах, это не означает ограничение сферы его применения. Тем не менее, каждый прикладной протокол, который желает использовать TLS-протокол, должен претерпеть индивидуальные корректировки.
Как правило, сервер (в структуре «клиент ⇔ сервер») всегда аутентифицируется на основе электронного сертификата. Пользователи также могут иметь сертификаты, с помощью которых можно проводить аутентификацию «в ручную», тем не менее такой способ не нашел широкого применения. К сожалению, на практике даже процедура аутентификации сервера не на столько защищена по сравнению с криптографическими способами, которые могли быть использованы, так как большинство прикладных протоколов (служб) позволяют пользователям игнорировать отрицательный результат аутентификации, а большинство пользователей обычно так и делает. Разработчики протоколов должны быть осторожны с точки зрения применения открытых паролей, даже когда соединения защищены с помощью TLS-протокола. (Это требование может быть немного ослаблено, если станет ясно, что прикладные службы способны верифицировать подлинность и проводить авторизацию сертификата сервера.)
Несмотря на необходимость внесения изменений в прикладную службу (протокол), требуется использовать TLS-протокол, и особенно там, где имеются в наличии необходимые средства (и бесплатные, и коммерческие), обеспечивающие такую услугу. Такие средства разработаны для встраивания в листинг программы прикладного протокола. Прикладная служба, использующая TLS-протокол, вероятнее всего будет способна устанавливать наиболее приемлемые стратегии обеспечения безопасности, исходя из собственной функциональной специфики, по сравнению с прикладной службой, использующей только IPsec-протоколы.