Раджа, https://friends.grishka.me/posts/140119
Но вообще почему все хотят именно STARTTLS — самый упоротый вид шифрования в этой вселенной — для меня загадка. Есть же обычный XMPP-over-TLS, когда у тебя соединение сразу TLS, без всего этого "чувак, а давай включим шифрование", и для этого можно настроить проксирование в nginx... Мне не нравится идея необходимости иметь ещё одну вещь, которая терминирует TLS.