4.14.2. Результат операции StartTLS
При получении запроса StartTLS, сервер, поддерживающий данную операцию, должен (MUST) вернуть запрашивающему клиенту ответное сообщение StartTLS. Идентификатор responseName, если таковой предоставляется (смотрите раздел 4.12), — "1.3.6.1.4.1.1466.20037". Поле responseValue всегда отсутствует.
Если сервер желает и способен вести переговоры TLS, он возвращает ответ StartTLS, результирующий код resultCode которого установлен success. При получении клиентом ответа StartTLS с успешным статусом стороны могут начать переговоры TLS как описано в разделе 3 [RFC4513].
В противном случае, если сервер не желает или не способен выполнить данную операцию, он должен вернуть соответствующий результирующий код, указывающий на характер проблемы. Например, если подсистема TLS в настоящее время не доступна, сервер может указать на это путём возврата сообщения с результирующим кодом resultCode, установленным в unavailable. В тех случаях, когда возвращён ответ с неуспешным результирующим кодом, сессия LDAP продолжается без уровня TLS.
4.14.3. Снятие уровня TLS
Как клиент, так и сервер может (MAY) снять уровень TLS (прекратить его использование) и продолжить работу с "чистым" уровнем сообщений LDAP путём отправки и получения оповещения о закрытии TLS (TLS closure alert).
Сторона-инициатор посылает оповещение о закрытии TLS и должна (MUST) ожидать, пока не получит оповещение о закрытии TLS от другой стороны, прежде чем посылать дальнейшие LDAP PDU.
Когда одна из сторон получает начальное оповещение о закрытии TLS, она может избрать вариант продолжения работы с "чистым" уровнем сообщений LDAP. В этом случае она должна (MUST) немедленно передать оповещение о закрытии TLS. Вслед за этим она может (MAY) посылать и принимать LDAP PDU.
Стороны могут (MAY) завершить данную сессию LDAP после отправки и получения оповещения о закрытии TLS.