Die Apache SSL Client Zertifikatsauthentifizierung funktioniert nicht mehr. Fehler: Forbidden You don’t have permission to access this resource.Reason: Cannot perform Post-Handshake Authentication.

Wenn z.B. nach einem Update auf Debian 10 Buster eine vorher funktionierende Apache SSL Client Certificate Authentication nicht mehr funktioniert und der Fehler

Forbidden You don’t have permission to access this resource.Reason: Cannot perform Post-Handshake Authentication.

auftritt, dann liegt es daran, dass es bei TLS1.3 Probleme mit der Authentifizierung mit Client Certificates gibt:

• https://bz.apache.org/bugzilla/show_bug.cgi?id=62975
• https://stackoverflow.com/questions/53062504/apache-2-4-37-with-openssl-1-1-1-cannot-perform-post-handshake-authentication
• https://bugs.launchpad.net/ubuntu/+source/apache2/+bug/1834671
• https://bugs.chromium.org/p/chromium/issues/detail?id=911653

Als kurzfristige Lösung kann man in der Apache SSL Config die Verwendung von TLS1.3 deaktivieren.
vim /etc/apache2/mods-available/ssl.conf

SSLProtocol all -SSLv3 -TLSv1.3

Nach einem Reload der Apache Config funktioniert die Client Zertifikats Authentifizierung wieder.