La clave privada del certificado del cliente no deja al cliente durante la conexión TLS igual que la clave privada del servidor no abandona el servidor (consulte ¿Cómo funciona SSL / TLS para más detalles? Por lo tanto, es imposible que el atacante en su escenario obtenga la clave privada.
En cuanto al certificado en sí (es decir, la parte pública). Si el atacante logra configurar un servidor de esta manera que solicita un certificado del cliente (tal vez necesite configurar la CA aceptada), el cliente se autenticará con este certificado (tal vez pregunte al cliente primero) y así el atacante puede obtener la Certificado en sí mismo, con toda la información pública que contiene. Cualquier atacante puede acceder de forma pasiva a la misma información rastreando la conexión con el servidor original, ya que el certificado del cliente (es decir, la parte pública) se transfiere de forma transparente.