La chiave privata del certificato client non lascia il client durante la connessione TLS stessa come la chiave privata del server non lascia il server (vedi Come funziona SSL / TLS per maggiori dettagli). Pertanto è impossibile per l'attaccante dello scenario prendere la chiave privata.
Per quanto riguarda il certificato stesso (cioè la parte pubblica). Se l'attaccante riesce a configurare un server in questo modo in modo che richieda un certificato dal client (forse è necessario configurare la CA accettata), il client si autenticherà con questo certificato (forse chiedendo prima al client) e quindi l'attaccante può ottenere il certificato stesso, con tutte le informazioni pubbliche che contiene. È possibile accedere alle stesse informazioni da qualsiasi utente malintenzionato che annida passivamente la connessione con il server originale poiché il certificato client (ad esempio la parte pubblica) viene trasferito in chiaro.
Leggi altre domande sui tag web-application certificates iframe