Почему LDAP с STARTTLS предпочтительнее LDAPS

STARTTLS only upgrades to an encrypted connection once the authentication is successful

Вы уверены? При использовании SMTP сначала запускается TLS, а аутентификация выполняется по зашифрованному соединению. Это предполагает, что LDAP работает так же:

This value activates STARTTLS encryption for any server-side traffic that requires STARTTLS encryption. In this case, the BIG-IP system activates STARTTLS when a successful connection is made.

Общие сведения о STARTTLS:

I am just wondering why is LDAP with STARTTLS is a more preferred industry standard over LDAPS.

Некоторые причины использовать STARTTLS, а не всегда использовать зашифрованное соединение:

• Клиенты, не поддерживающие STARTTLS, по-прежнему могут подключаться и получать -допустимую ошибку протокола, которую они могут показать пользователю. Клиенты, не поддерживающие шифрование, вообще не смогут подключиться к серверу LDAPS. Это означает, что когда требуется TLS, STARTTLS обеспечивает лучшую диагностику.
• STARTTLS потенциально также может обеспечить более качественную диагностику, когда требуется TLS и клиент поддерживает его, но по какой-либо причине рукопожатие не выполняется.
• STARTTLS может быть необязательным.Когда это так, один порт обслуживает как клиентов с шифрованием, так и клиентов с открытым текстом. При использовании LDAPS клиент должен правильно указать порт, иначе соединение не будет установлено.