StartTLS présente des inconvénients du point de vue des logiciels de sécurité. Les pare-feu doivent analyser le procédé au niveau de l’application pour faire la différence entre les données cryptées, et non cryptées. Il en va à peu près de même pour les serveurs relais, qui travaillent de préférence avec des ports séparés, alors qu’avec StartTLS, on ne change pas de port. Cela rend le stockage en mode cache difficile, voire impossible.
En matière de protection des données, StartTLS est loin d’être parfait. La plupart des programmes d’email utilisent l’option « TLS si possible », ce qui fait que l’utilisateur ne sait pas si la liaison avec le serveur mail est cryptée ou non. On note également une augmentation du risque d’attaque de l’homme du milieu lorsque l’exploitant du réseau élimine tout simplement par filtrage l’extension TLS, ce qui lui permet de participer au protocole d’échange des données. En effet, si la commande StartTLS n’est pas exécutée, les données sont transmises sans être cryptées, et sans non plus, le plus souvent, que l’utilisateur ne l’apprenne.