Di solito, quando le persone dicono che non vogliono il TLS ma qualcosa chiamato "application-level", allora la pura e nuda verità è che non sanno di cosa stiano discutendo.
Attenzione al "solito", però: ci sono sono situazioni in cui TLS è insufficiente, e qualcos'altro è necessario e deve essere applicato ad un livello che può essere soprannominato "applicazione". Il caso principale è quando un cliente deve inviare richieste con una sorta di responsabilità esecutiva; in poche parole, quando le richieste devono essere firmate in modo che, in caso di problemi, la richiesta possa servire come prova durante una prova. TLS non fa firme; utilizza le firme internamente, ma solo per l'autenticazione. Il cliente può essere sicuro che parli con il server giusto (e anche viceversa, se vengono utilizzati i certificati client), ma non ha prove che possano essere convincenti agli occhi di un giudice.
Ovviamente, è improbabile che le persone che richiedono "SLA" ma non siano in grado di fornire specifiche decenti siano consapevoli di tali sottigliezze. Probabilmente stanno solo applicando un pezzo di dogma che non capiscono. Per contrastare ciò, fai come ti chiedono: implementa un Application-Level Security che consiste nello scambio di "messaggi" come "sequenze di byte" che sono identici a quanto descritto in RFC 5246 .
Questo punto è stato fatto prima, brillantemente, in un formato grafico di facile comprensione:
(Spero che gli avvocati di Scott Adams mi perdoneranno per aver citato questo straordinario pezzo di saggezza.)