ในระบบเครือข่ายคอมพิวเตอร์โปรโตคอลSecure Socket Tunneling Protocol ( SSTP ) เป็นรูปแบบหนึ่งของ อุโมงค์ เครือข่ายส่วนตัวเสมือน (VPN) ที่เป็นกลไกในการส่ง ข้อมูล แบบ Point-to-Point Protocol (PPP) ผ่านช่องทาง SSL/TLS

SSL/TLS ให้การรักษาความปลอดภัยระดับการขนส่งด้วยการเจรจาคีย์การเข้ารหัสและการตรวจสอบความสมบูรณ์ของการรับส่งข้อมูล การใช้ SSL/TLS ผ่าน พอร์ต TCP 443 (โดยค่าเริ่มต้น สามารถเปลี่ยนพอร์ตได้) ช่วยให้ SSTP สามารถผ่านไฟร์วอลล์และพร็อกซีเซิร์ฟเวอร์ เกือบทั้งหมด ยกเว้นพร็อกซีเว็บที่ได้รับการรับรอง^{[ 1 ]}

เซิร์ฟเวอร์ SSTP ต้องได้รับการตรวจสอบสิทธิ์ในระหว่างขั้นตอน SSL/TLS ส่วนไคลเอนต์ SSTP สามารถได้รับการตรวจสอบสิทธิ์ในระหว่างขั้นตอน SSL/TLS ก็ได้ และต้องได้รับการตรวจสอบสิทธิ์ในขั้นตอน PPP การใช้ PPP ช่วยให้รองรับวิธีการตรวจสอบสิทธิ์ทั่วไป เช่นEAP-TLSและMS-CHAPได้

SSTP สามารถใช้งานได้^บน Linux , BSDและWindows ^{[ 2} ]

SSTP เปิดตัวในปี 2550 ^{[ 3 ]}และใช้งานได้บนWindows Vista SP1และเวอร์ชันต่อมา ในRouterOSตั้งแต่เวอร์ชัน 5.0 และในSEILตั้งแต่เฟิร์มแวร์เวอร์ชัน 3.50 โปรโตคอลนี้ถูกรวมเข้ากับสถาปัตยกรรม RRAS อย่างสมบูรณ์ในระบบปฏิบัติการเหล่านี้ ทำให้สามารถใช้งานร่วมกับWinlogonหรือ การตรวจสอบสิทธิ์ด้วยสมาร์ท การ์ดนโยบายการเข้าถึงระยะไกล และไคลเอ็นต์ VPN ของ Windows ได้^{[ 4 ]} โปรโตคอลนี้ยังถูกใช้โดยWindows Azureสำหรับเครือข่ายเสมือนแบบ Point-to-Site อีกด้วย ^{[ 5 ]}

SSTP มีไว้สำหรับการเข้าถึงไคลเอ็นต์ระยะไกลเท่านั้น โดยทั่วไปจะไม่รองรับอุโมงค์ VPN ระหว่างไซต์^{[ 6 ]}

SSTP ประสบปัญหาข้อจำกัดด้านประสิทธิภาพเช่นเดียวกับอุโมงค์ IP-over-TCP อื่นๆ โดยทั่วไป ประสิทธิภาพจะอยู่ในระดับที่ยอมรับได้ก็ต่อเมื่อมีแบนด์วิดท์ส่วนเกินเพียงพอในลิงก์เครือข่ายที่ไม่ได้สร้างอุโมงค์ เพื่อรับประกันว่าตัวจับเวลา TCP ที่สร้างอุโมงค์จะไม่หมดอายุ หากสิ่งนี้ไม่เป็นจริง ประสิทธิภาพจะลดลงอย่างมากเนื่องจาก ปัญหา TCP meltdown ^{[ 7 ] [ 8 ]}

SSTP รองรับการตรวจสอบสิทธิ์ผู้ใช้เท่านั้น ไม่รองรับการตรวจสอบสิทธิ์อุปกรณ์หรือการตรวจสอบสิทธิ์คอมพิวเตอร์

โครงสร้างส่วนหัวต่อไปนี้เป็นเรื่องปกติสำหรับแพ็กเก็ต SSTP ทุกประเภท: ^{[ 9 ]}

• เวอร์ชัน (8 บิต) – ใช้ในการสื่อสารและเจรจาเพื่อกำหนดเวอร์ชันของ SSTP ที่ใช้งานอยู่
• สงวนไว้ (7 บิต) – สงวนไว้สำหรับการใช้งานในอนาคต
• C (1 บิต) – บิตควบคุมที่ระบุว่าแพ็กเก็ต SSTP นั้นเป็นแพ็กเก็ตควบคุม SSTP หรือแพ็กเก็ตข้อมูล SSTP บิตนี้จะถูกตั้งค่าหากแพ็กเก็ต SSTP เป็นแพ็กเก็ตควบคุม
• ความยาว (16 บิต) – ฟิลด์ความยาวแพ็กเก็ต ประกอบด้วยสองค่า ได้แก่ ส่วนที่สงวนไว้ และส่วนความยาว

• สงวนไว้ (4 บิต) – สงวนไว้สำหรับการใช้งานในอนาคต
• ความยาว (12 บิต) – ประกอบด้วยความยาวของแพ็กเก็ต SSTP ทั้งหมด รวมทั้งส่วนหัวของแพ็กเก็ต SSTP ด้วย

• ข้อมูล (ตัวแปร) – เมื่อบิตควบคุม C ถูกตั้งค่า ฟิลด์นี้จะบรรจุข้อความควบคุม SSTP มิฉะนั้น ฟิลด์ข้อมูลจะบรรจุโปรโตคอลระดับสูงกว่า ปัจจุบันสามารถเป็นได้เพียงPPPเท่านั้น

ช่องข้อมูลของส่วนหัว SSTP จะมีข้อความควบคุม SSTP ก็ต่อเมื่อบิตควบคุม C ในส่วนหัวถูกตั้งค่าไว้เท่านั้น

• ประเภทข้อความ (16 บิต) – ระบุประเภทของข้อความควบคุม SSTP ที่กำลังสื่อสาร ซึ่งจะกำหนดจำนวนและประเภทของแอตทริบิวต์ที่สามารถส่งได้ในแพ็กเก็ตควบคุม SSTP
• จำนวนแอตทริบิวต์ (16 บิต) – ระบุจำนวนแอตทริบิวต์ที่จะเพิ่มเข้าไปในข้อความควบคุม SSTP
• คุณลักษณะ (ตัวแปร) – ประกอบด้วยรายการคุณลักษณะที่เกี่ยวข้องกับข้อความควบคุม SSTP จำนวนคุณลักษณะจะระบุโดยฟิลด์จำนวนคุณลักษณะ

• AuthIP
• L2TP/IPsec
• HTTPS
• OpenVPN
• OpenConnect VPN
• พีทีพีพี
• SoftEther VPNเป็นโปรแกรมเซิร์ฟเวอร์ VPN แบบโอเพนซอร์สที่รองรับโปรโตคอล SSTP-VPN
• ไวร์การ์ด

• [MS-SSTP]: โปรโตคอล Secure Socket Tunneling (SSTP)ตามข้อกำหนดแบบเปิดของ Microsoft
• บล็อก RRAS Technet
• ไมโครซอฟต์พัฒนาโปรโตคอลการสร้างอุโมงค์แบบใหม่
• วิธีการทำงานของการเชื่อมต่อ VPN แบบ SSTP
• ไคลเอนต์ SSTP ของ HSC สำหรับ Linux
• ไคลเอ็นต์ SSTP สำหรับ Linux