Originalmente, este concepto de la toma de huellas dactilares de los clientes de TLS provino de la investigación de Lee Brotherston en 2015. En resumen, las firmas JA3 / JA3S se asemejan a las huellas dactilares; en este caso, unas huellas digitales que combinadas pueden ayudar a producir una identificación de mayor certeza de la comunicación cifrada entre un cliente específico y su servidor.

Por ejemplo:

Cliente TOR estándar:
JA3 = e7d705a3286e19ea42f587b344ee6865(Cliente Tor)
JA3S = a95ca7eab4d47d051a5cd4fb7b6005dc (Respuesta del servidor Tor)
Los servidores TOR siempre responden al cliente TOR exactamente de la misma manera, proporcionando una mayor confianza de que el tráfico es TOR.

Malware Trickbot:
JA3 = 6734f37431670b3ab4292b8f60f29984 (Trickbot)
JA3S = 623de93db17d313345d7ea481e7443cf (Respuesta del servidor C2)

Malware Emotet:
JA3 = 4d7a28d6f2263ed61de88ca66eb011e3 (Emotet)
JA3S = 80b3a14bccc8598a1f3bbe83e71f735f (Respuesta del servidor C2)

Mientras las direcciones IP destino, puertos y certificados X509 pueden cambiar, la huella digital de JA3 permanece constante. Cabe aclarar que sólo son ejemplos y dependen mucho de la versión que se esté ejecutando.

En los ejemplos anteriores, el servidor de C2C siempre responde al cliente de malware exactamente de la misma manera, sin cambiar la respuesta. Por lo tanto, aunque el tráfico está cifrado y no se conozcan las direcciones IP o los dominios del servidor de Command and Control, ya que cambian constantemente, podríamos identificar con una cierta confianza y probabilidad que se está realizando una comunicación maliciosa, gracias a las huellas digitales de la negociación TLS (JA3 / JA3S) entre el cliente y el servidor.

JA3 es un método que toma una huella digital de este handshake que fue publicado por primera vez por John Althouse, Jeff Atkinson y Josh Atkins de Salesforce, de ahí su nombre JA3. Surgió como una solución alterna para identificar tráfico cifrado malicioso, y como se mencionó en una publicación de Akamai realizada hace poco, descubrió que más del 80% del tráfico malicioso actual se realiza a través de canales cifrados. Esto rompe el paradigma de la seguridad al usar cifrados en las comunicaciones, como los protocolos TLS.

Conclusión
JA3 y JA3S son métodos de huellas digitales TLS. JA3 identifica la forma en que una aplicación cliente se comunica a través de TLS y JA3S toma las huellas digitales de la respuesta del servidor. Combinados, esencialmente crean una huella digital de la negociación criptográfica entre cliente y servidor.

Referencias:
https://github.com/salesforce/ja3
https://ciberseguridad.blog/que-son-las-firmas-ja3-ja3s-y-como-nos-ayudan-en-ciberseguridad/