為什麼帶有 STARTTLS 的 LDAP 優於 LDAPS

我只是想知道為什麼帶有 STARTTLS 的 LDAP 是比 LDAPS 更受歡迎的行業標準。LDAPS 以加密資訊開始通信，而 STARTTLS 僅在身份驗證成功後升級到加密連接。

STARTTLS 僅在身份驗證成功後才升級到加密連接

你確定嗎？使用 SMTP，首先啟動 TLS，並通過加密連接執行身份驗證。這表明 LDAP 的工作方式相同：

此值會為任何需要 STARTTLS 加密的伺服器端流量啟動 STARTTLS 加密。在這種情況下，BIG-IP 系統會在成功連接時啟動 STARTTLS。

一般關於 STARTTLS：

我只是想知道為什麼帶有 STARTTLS 的 LDAP 是比 LDAPS 更受歡迎的行業標準。

使用 STARTTLS 而不是始終使用加密連接的一些原因：

• 不支持 STARTTLS 的客戶端仍然可以連接並接收協議有效錯誤，它們可以向使用者顯示。不支持加密的客戶端根本無法連接到 LDAPS 伺服器。這意味著當需要 TLS 時，STARTTLS 可以提供更好的診斷。
• 當需要 TLS 並且客戶端支持它時，STARTTLS 還可能提供更好的診斷，但無論出於何種原因握手失敗。
• STARTTLS 可以是可選的。如果是這樣，一個埠同時為加密和純文字客戶端提供服務。使用 LDAPS，客戶端必須正確獲取埠，否則連接失敗。

引用自：https://unix.stackexchange.com/questions/607560