TLS-Fingerprinting erklärt

Was ist TLS-Fingerprinting?

TLS-Fingerprinting identifiziert die Software hinter einer HTTPS-Verbindung, indem es die erste Nachricht des Handshakes analysiert. Wenn ein Client eine TLS-Verbindung öffnet, sendet er ein Client-Hello-Paket, das TLS-Version, Cipher-Suites, Extensions und deren Reihenfolge offenlegt. Diese Kombination ist eine Signatur der zugrundeliegenden TLS-Bibliothek auf Byte-Ebene.

Der entscheidende Punkt: Das Client Hello ist ein Implementierungsdetail, kein Header, den der Scraper frei wählt. Den User-Agent können Sie beliebig setzen, die Cipher-Liste Ihrer TLS-Bibliothek nicht. Ein Python-Skript, das sich als Chrome ausgibt, wird bereits beim Handshake entlarvt.

JA3 und JA4

Salesforce-Ingenieure veröffentlichten JA3 im Januar 2019. Es hasht fünf Felder aus dem Client Hello per MD5 zu einem 32-Zeichen-Fingerprint. Jeder Browser und jede HTTP-Bibliothek erzeugt eine andere Kombination — Pythons requests-Bibliothek hat einen JA3-Hash, curl einen anderen, Firefox seinen eigenen.

Anfang 2023 begann Chrome, die Reihenfolge der TLS-Extensions zu randomisieren. Ein einzelner Chrome-Client mit 16 Extensions kann dadurch etwa 20,9 Billionen verschiedene JA3-Hashes erzeugen, was JA3 als Browser-Kennung unbrauchbar machte.

FoxIO veröffentlichte JA4 im September 2023. Der Fix: Cipher und Extensions werden vor dem Hashing alphabetisch sortiert. JA4 ist Teil einer größeren Suite (JA4S, JA4H, JA4X, JA4T, JA4SSH) und wird seit Anfang 2025 von Cloudflare und Fastly im Bot-Management unterstützt.

Was TLS-Fingerprints über Bots verraten

Cloudflare analysiert laut eigenen Angaben täglich über 15 Millionen einzigartige JA4-Fingerprints aus mehr als 500 Millionen User-Agents (Cloudflare, 2024). Gängige HTTP-Bibliotheken wie Pythons requests, Gos net/http oder Nodes axios erzeugen TLS-Handshakes, die kein echter Browser senden würde. Laut Impervas Bad Bot Report 2025 machte automatisierter Traffic 2024 erstmals 51% des Web-Traffics aus, davon 37% bösartige Bots.

Wie Bots zurückschlagen

Scraper replizieren echte Browser-Handshakes mit Bibliotheken wie curl-impersonate, uTLS (Go), CycleTLS (Node.js) und curl_cffi (Python). Eine UC-Davis-Studie testete 2025 zwanzig kommerzielle Bot-Dienste und maß durchschnittliche Umgehungsraten von 52,93% gegen DataDome und 44,56% gegen BotD (Venugopalan et al., IMC 2025).

Warum Fingerprints allein nicht genügen

Cloudflares eigene Ingenieure sagen es deutlich: "Fingerprints lassen sich leicht fälschen." Ein JA4-Hash sagt Ihnen, welche Software die Verbindung aufbaut, nicht was sie tut. Moderne Bot-Erkennung ist deshalb mehrschichtig: TLS-Fingerprint, IP-Reputation, Request-Muster, Header-Konsistenz und Crawler-Datenbank-Abgleich zusammen.

Was das für die KI-Crawler-Abwehr bedeutet

KI-Crawler nutzen dieselben Werkzeuge wie jeder andere Scraper. Rund ein Drittel aller KI-Scrapes umgeht robots.txt vollständig — Sie können einem Crawler nicht glauben, was er über sich selbst sagt. Centinel gleicht jede Anfrage gegen 1.600+ Crawler-Fingerprints ab und kombiniert TLS-Signale, Header-Muster und Verhaltensheuristik am Edge. TLS-Fingerprinting liefert die Basis, eine Crawler-Datenbank und Verhaltensdurchsetzung schließen den Rest.