Идеально сделанный MITM невозможно заметить на стороне сервера без клиентского сертификата, но я почему-то уверен, что 99% MITM-ов не идельные.

Смотрите, браузеры, при соединении с TLS сервером, говорят, к примеру: привет дядь сервер, я могу tls1, tls1.1, tls1.2 tls1.3, шифры такие-то, аутентификации такие-то, обмен ключами - такие-то. А MITM Box-ы, обычно старые железки с другим (различным от современных браузеров) списком поддерживаемых алгоритмов.

То есть, мы можете у себя иметь базу, что Firefox такой-то имеет такой список алгоритмов, Хром - такой список, и.т.д.

И если к вам подключится клиент, который к примеру говорит что он Firefox 63, но не поддерживает tls1.3, вы можете быть 99% уверены что там MITM (может локальный антивирь, или корпоротивный MITM Box, или что угодно, но MITM).

Но чтобы замутить такое вам потребуется скритующийся веб-сервер.