с помощью curl удалось добиться того, что сервер возвращает ответ 200, но только если запросы идут через прокси burp, если не использую прокси или использую обычные прокси то возвращается 403.
Если ставлю, чтобы burp отправлял запросы через прокси х.х.х.х то тоже 200, если эти же прокси х.х.х.х ставлю в curl то получаю 403.
Что такого burp может сделать с запросом перед отправкой?
upd.
обновил curl, curl стал автоматически отправлять запросы с tls 1.3 и все заработало как надо. можно считать вопрос решенным