TLS-Fingerprinting
TLS-Fingerprinting ist eine Technik, die die Software identifiziert, die eine HTTPS-Verbindung aufbaut, indem sie die Parameter ihres TLS-Handshakes untersucht, insbesondere die ClientHello-Nachricht. Da verschiedene TLS-Bibliotheken und Clients Cipher-Suites, Erweiterungen und Versionen auf charakteristische Weise ankündigen, offenbart der Handshake den zugrunde liegenden Client, selbst ohne jegliche Daten auf Anwendungsebene.
Wie TLS-Fingerprinting funktioniert
Wenn ein Client eine HTTPS-Verbindung öffnet, sendet er ein ClientHello, das die von ihm unterstützten TLS-Versionen, seine geordneten Cipher-Suites, die unterstützten Erweiterungen, elliptischen Kurven und Signaturalgorithmen auflistet. Diese Wahl wird von der TLS-Bibliothek und ihrer Konfiguration bestimmt, sodass sie ein erkennbares Muster für jeden Client-Stack bildet.
Ein Server oder eine Middlebox erfasst diese Felder und kodiert sie zu einem kompakten Fingerprint, historisch mit Schemata wie JA3 und in jüngerer Zeit JA4. Der Fingerprint fasst den Handshake so zusammen, dass Verbindungen derselben Client-Software denselben Wert erzeugen, unabhängig von IP-Adresse oder User-Agent.
TLS-Fingerprinting arbeitet unterhalb der HTTP-Schicht, was es für eine Anwendung schwer überzeugend fälschbar macht. Ein Tool kann jeden beliebigen User-Agent-String setzen, doch sein TLS-Handshake spiegelt weiterhin die real genutzte Bibliothek wider und legt Diskrepanzen zwischen dem angegebenen Browser und dem tatsächlichen Client offen.
Da es den Client-Stack und nicht das Gerät erfasst, ist TLS-Fingerprinting zur Unterscheidung einzelner Personen gröber als Browser-Fingerprinting, aber hervorragend geeignet, um den Client-Typ zu klassifizieren und Automatisierung aufzuspüren.
Warum TLS-Fingerprinting für die Betrugsprävention wichtig ist
TLS-Fingerprinting ist für die Bot-Erkennung und Automatisierungserkennung schlagkräftig, weil Scripting-Tools und -Bibliotheken TLS-Signaturen haben, die sich von gängigen Browsern unterscheiden. Wenn eine Anfrage vorgibt, Chrome zu sein, aber den TLS-Handshake einer Scripting-Bibliothek präsentiert, ist dieser Widerspruch ein starker Betrugsindikator. Da es auf der Netzwerkschicht arbeitet, widersteht es dem Header-Spoofing, das einfachere Prüfungen besiegt.
Wie TRACIO damit umgeht
TRACIO nutzt Signale der Netzwerkschicht, einschließlich der Merkmale des TLS-Handshakes, als Teil seiner serverseitigen Smart Signals und der Bot-Erkennung. Das ergänzt die clientseitige Identifikation, indem es Automatisierung erfasst, die Browser-Header nachahmt, aber keinen echten Browser-TLS-Stack replizieren kann. Kombiniert mit IP Intelligence hilft es, echte Browser von Tooling zu trennen, unabhängig vom angegebenen User-Agent.
Verwandte Begriffe
Häufig gestellte Fragen
Identifizieren Sie jedes Gerät mit Sicherheit
Starten Sie mit einem kostenlosen Tarif von 2.500 API-Aufrufen pro Monat. Keine Kreditkarte erforderlich.