Estou reformulando minha pergunta para que eu possa obter uma resposta melhor. Eu fiz uma pergunta semelhante emserverfault aquiepensar que um servidor TLS adequado e válido é aquele que espera o comando "STARTTLS".

É verdade que o STARTTLS pode ser emitido para um servidor LDAP ou HTTP TLS configurado corretamente sem precisar de uma porta extra? Sei que isso é verdade da perspectiva de SMTP, mas não tenho certeza de quão amplamente posso aplicar essas experiências a outros protocolos.

Passei um tempo lendo (mas não compreendendo totalmente)

oTLS SpecDiferenças entreTLS e SSLoEspecificações SSL

Q: O que acontece na conexão imediatamente antes da instalação da sessão TLS sobre LDAP ou HTTP? Como isso é baseado em TCP, posso simplesmente telnetar para essa porta e emitir algum comando para verificar se está funcionando (até esse ponto)?