TLS Fingerprinting
O TLS fingerprinting é uma técnica que identifica o software que realiza uma conexão HTTPS inspecionando os parâmetros de seu handshake TLS, em particular a mensagem ClientHello. Como diferentes bibliotecas e clientes TLS anunciam suítes de cifra, extensões e versões de formas características, o handshake revela o cliente subjacente mesmo sem nenhum dado no nível de aplicação.
Como TLS Fingerprinting funciona
Quando um cliente abre uma conexão HTTPS, ele envia um ClientHello que lista as versões de TLS que suporta, suas suítes de cifra ordenadas, as extensões suportadas, as curvas elípticas e os algoritmos de assinatura. Essas escolhas são determinadas pela biblioteca TLS e sua configuração, de modo que formam um padrão reconhecível para cada pilha de cliente.
Um servidor ou middlebox captura esses campos e os codifica em uma impressão digital compacta, historicamente com esquemas como JA3 e mais recentemente JA4. A impressão digital resume o handshake, de modo que as conexões do mesmo software cliente produzem o mesmo valor, independentemente do endereço IP ou do user agent.
O TLS fingerprinting opera abaixo da camada HTTP, o que dificulta que um aplicativo o forje de forma convincente. Uma ferramenta pode definir qualquer string de user agent que quiser, mas seu handshake TLS ainda reflete a biblioteca real que ela usa, expondo discrepâncias entre o navegador declarado e o cliente real.
Como captura a pilha do cliente, e não o dispositivo, o TLS fingerprinting é mais grosseiro do que a impressão digital do navegador para distinguir indivíduos, mas excelente para classificar o tipo de cliente e detectar automação.
Por que TLS Fingerprinting importa para a prevenção de fraudes
O TLS fingerprinting é poderoso para a detecção de bots e automação porque as ferramentas e bibliotecas de scripting têm assinaturas TLS que diferem das dos navegadores convencionais. Quando uma requisição afirma ser o Chrome, mas apresenta o handshake TLS de uma biblioteca de scripting, essa contradição é um forte indicador de fraude. Ao operar na camada de rede, ele resiste à falsificação de cabeçalhos que derrota as verificações mais simples.
Como o TRACIO lida com isso
A TRACIO usa sinais da camada de rede, incluindo as características do handshake TLS, como parte de seus Smart Signals do lado do servidor e de sua detecção de bots. Isso complementa a identificação do lado do cliente ao detectar automação que imita os cabeçalhos do navegador, mas não consegue replicar uma pilha TLS de navegador genuína. Combinado com IP Intelligence, ele ajuda a separar os navegadores reais das ferramentas, seja qual for o user agent declarado.
Termos relacionados
Perguntas frequentes
Identifique cada dispositivo com confiança
Comece com um plano gratuito de 2.500 chamadas de API por mês. Sem necessidade de cartão de crédito.