STARTTLSを含むLDAPがLDAPSよりも優れている理由

STARTTLSを含むLDAPがLDAPSよりも広く使用されている業界標準である理由は疑問に思います。

そうではありません。 STARTTLSに関する現在のベストプラクティスは次のとおりです。RFC8314:

簡単に言えば、このメモは次のことをお勧めします。 [
...]
トランスポートサーバーとメールアクセスサーバーに接続します。同様のコマンド。

その理由は最後に説明します---https://www.rfc-editor.org/rfc/rfc8314#appendix-A:

STARTTLSはポート専用TLSよりも少し複雑なようですが、CERT（Computer Emergency Readiness Team）バグID＃555316 [CERT-555316]の形式のSTARTTLSコマンドインジェクションの脆弱性によって複雑さが少ないことをもう一度学びました。セキュリティ講義。 ])。 STARTTLSには本質的に誤りはありませんが、一般的な実装エラー（複数の実装者が独立して実行）を引き起こすという事実は、暗黙のTLSよりも安全性の低いアーキテクチャであることを示唆しています。

はい、このRFCはLDAPではなくEメールについて話します。ただし、電子メールはSTARTTLSによって開発されたプロトコルであるため、このRFCはLDAPを含むSTARTTLSをサポートするすべてのプロトコルと絶対に関連しています。

私が知る限り、これが（新しい）LDAP RFCに含まれていない不幸な理由は簡単です。まだ誰も邪魔していないからです。悪いことに、人々はこの古い言葉を引用したいと思います。OpenLDAP FAQの記事LDAPSの代わりにSTARTTLSを使用することをお勧めしますが、残念ながら、OpenLDAP FAQが長年維持されておらず、古くて不正確であることを認識していませんでした。

電子メール+STARTTLSと比較したLDAP+STARTTLSのもう1つの欠点：電子メールプロトコルが設計されているため、サーバーは暗号化ネゴシエーション前に認証サポートを宣伝しないため、誤って設定されたクライアントが認証データを明確に送信するのを防ぐことができます。 LDAPプロトコルはこのように設計されていないため、STARTTLSをサポートするLDAPサーバーは、誤って設定されたクライアントが暗号化されていない接続を介して認証データを送信するのを防ぐことができません。

最新情報を知りたい場合は、OpenLDAPメーリングリストの検索逆に、STARTTLSについては特にワイヤー。