Las "capas" son de una antigua clasificación abstracta ISO que se ha aplicado a cómo funcionan las cosas en el mundo físico, a menudo con el equivalente retórico de un martillo. No debes tratar de seguir capas como el evangelio, a menudo te llevará a la confusión.
SSL / TLS es un protocolo que se puede aplicar a través de un túnel de datos bidireccional, y que proporciona un túnel de datos bidireccional, con autenticación (servidor por cliente o mutua), confidencialidad (mediante cifrado) y la integridad verificada. En términos de "capas", va justo entre la capa 4 y la capa 6 del modelo OSI, lo que muestra que el concepto de "capas" no logra capturar la posición real de SSL / TLS.
Sucede que la parte de autenticación de SSL / TLS (el "apretón de manos") consiste en una serie de mensajes, que se intercambian en una secuencia alternativa; consulte la especificación TLS , página 36, para ver un diagrama que muestra esa secuencia. En SSL / TLS "normal", los mensajes se intercambian a través de cualquier túnel de datos bidireccional en el que se aplique SSL / TLS, generalmente una conexión TCP. Sin embargo, las propiedades criptográficas del protocolo de enlace provienen del contenido del mensaje, no de cómo se envían. En ese punto, considere EAP: este es un marco para los protocolos de autenticación, que consiste en mensajes; EAP está destinado a ser usado sobre cualquier mecanismo de transporte que pueda enviar mensajes ("capa 2" si realmente quiere pensarlo en capas). Por lo tanto, se ha definido EAP-TLS: este es un protocolo de autenticación, que consiste en una secuencia de mensajes que son los especificados para el protocolo de enlace SSL / TLS, pero que se envían como tantos mensajes a través del mecanismo de transporte utilizado por EAP. EAP-TLS no es TLS, no proporciona un túnel para datos; es un protocolo que reutiliza partes de el protocolo de enlace que se produce al comienzo de una conexión TLS.