Il certificato in TLS viene utilizzato per l'autenticazione, ad esempio per verificare che si stia parlando con il peer previsto. Questo vale sia per i certificati server che client. Ma nella maggior parte dei casi viene utilizzato solo un certificato del server per essere sicuro di scoraggiare gli attacchi man in the middle. Pertanto, la maggior parte degli scenari MITM si preoccupa solo di falsificare in qualche modo il certificato del server o di rubare la chiave privata del server per impersonarlo perfettamente.
Nel caso in cui solo la chiave privata dei certificati client sia compromessa, ma non la chiave privata dei certificati server, un attacco man in the middle non è possibile, a condizione che il client convalidi correttamente il certificato dei server. E non importa se entrambi i certificati sono firmati dalla stessa CA o meno.
Tuttavia, se il certificato client viene utilizzato dal server per autenticare il client e in base all'autenticazione corretta per consentire attività specifiche, è possibile un altro attacco. Poiché l'utente malintenzionato ha compromesso la chiave privata del certificato client, ora può impersonare perfettamente il client e compiere tutte le azioni sul server consentite per questo certificato.
La situazione è diversa se il client si basa erroneamente solo sulla catena di fiducia per la convalida dei certificati e non controlla che l'oggetto del certificato dei server corrisponda al nome del server. Questo errore di non controllare il soggetto o di non controllarlo in modo corretto potrebbe effettivamente essere trovato spesso in passato. In questo caso, l'utente malintenzionato potrebbe utilizzare il certificato client compromesso per falsificare il certificato del server originale all'interno di un uomo nell'attacco centrale poiché questo certificato è firmato da una CA attendibile e il soggetto sbagliato non viene rilevato dal client.