FTPES é na verdade menos seguro em relação a usuários desconhecidos em comparação com FTPS. Com o FTPES, um cliente deve solicitar explicitamente uma conexão FTP criptografada, enquanto que a negociação FTPS implícita não é permitida. Espera-se imediatamente que um cliente desafie o servidor FTPS com uma mensagem TLS / SSL ClientHello. Se essa mensagem não for recebida pelo servidor FTPS, o servidor deverá desconectar a conexão.
O problema com o FTPES é que, quando um invasor estiver executando um ataque man-in-the-middle, ele poderá negociar um link não criptografado (remoção de SSL) se o cliente estiver configurado para negociar o conexão explicitamente (daí o E no FTPES).