Aber heißt das nun das die Verbindung tatsächlich funktioniert, oder das nicht?
Ja, denn einen HTTP Statuscode erhält der Client nur wenn eine Verbindung aufgebaut werden konnte und auf der Gegenseite ein HTTP Server läuft.
Wenn die TLS/SSL Verbindung nicht hergestellt werden kann, erhält man Fehler der TLS/SSL Bibliothek.
403 kann man interpretieren als: "ich (der Server) kann Dich anhand des Zertifkats und des Passwort zwar als Benutzer erkennen, aber Dir wurde nicht der Zugriff auf die Resource gegeben":
Zitat:
Receiving a 403 response is the server telling you, “I’m sorry. I know who you are–I believe who you say you are–but you just don’t have permission to
access this resource. Maybe if you ask the system administrator nicely, you’ll get permission. But please don’t bother me again until your predicament changes.”
https://stackoverflow.com/a/6937030/80901
Anscheinend wird das auch im
RFC so beschrieben:
"Forbidden means that the client has authenticated successfully, but is not authorized."
(Kommentar unter der verlinkten Stackoverflow-Antwort)