SSL/TLS 和 EAP 可以混合使用的主要方式有两种：EAP-TLS和EAP-TTLS。基本上，EAP 是用于交换“消息”的通用协议，“认证方法”定义了消息内容。对于基于 TLS 的 EAP 方法，消息包含来自 SSL/TLS 的各种握手消息。在 EAP-TLS 中，正常情况是客户端使用证书，然后利用来自 TLS 的基于证书的身份验证；使用 EAP-TTLS，在握手期间不执行客户端身份验证，而是在隧道内播放附加的身份验证协议（它本身可能使用 EAP）。

在任何情况下，正常的 SSL/TLS 握手消息都会被发送、接收和处理，包括 和 的“心跳”ClientHello扩展ServerHello。如果 EAP-TLS 或 EAP-TTLS 的给定实现使用易受攻击的 OpenSSL 版本来处理 SSL/TLS 握手，那么是的，应该应用所谓的“heartbleed”攻击，受制于通常的（而且大多是未知的）变幻莫测此类攻击（即，缓冲区溢出将揭示 RAM 中该位置的内容，这在很大程度上取决于操作系统和整个应用层）。

值得注意的是，该漏洞发生在第一个握手消息（the ClientHello）的处理中，因此协议的其余部分（例如密码套件选择）对其没有任何影响。

但是，我们可以说大多数 WiFi 接入点从未更新，因此这个特定漏洞只是适用于大多数已部署接入点的一长串（并且不断增长的）漏洞列表中的一个。从这个意义上说，没有理由恐慌（情况很糟糕，但已经很糟糕了，而且没有变得更糟）。