Erro de SSL: número de versão incorreto

curl -vLk https://api.github.com/rate_limit
...
* Connected to api.github.com (140.82.121.6) port 443 (#0)

O endereço IP está correto.

...
* TLSv1.3 (OUT), TLS handshake, Client hello (1):

Isso significa que uma pilha TLS recente é usada e oferece suporte a TLS 1.3. A saída é típica para um back-end OpenSSL de curl. Parece bom até agora.

* error:1408F10B:SSL routines:ssl3_get_record:wrong version number

Essa mensagem de erro é, na maioria dos casos, enganosa. Suspeito que haja algo em sua rede que intercepte o tráfego e responda com uma resposta não TLS, que é interpretada como TLS e, portanto, uma versão TLS inesperada é encontrada na resposta (não TLS).

As razões típicas para isso são configuração de proxy errada, portais cativos ou similares na rede ou firewalls bloqueando as conexões. Infelizmente nada se sabe sobre o ambiente onde você roda este rasperry pi, então é difícil dar razões mais precisas. Em qualquer caso, o problema é muito provável fora da sua máquina.

Editar: a captura de pacotes fornecida reflete o que eu esperava:

Pode-se ver que a resposta ao TLS Client Hello é a seguinte resposta HTTP simples:

HTTP/1.1 200 OK
Server: Jetty/4.2.x (Windows XP/5.1 x86 java/1.6.0_17)
Content-Type: text/html
Content-Length: 186
Accept-Ranges: bytes

<html>
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://192.168.68.1:80/shn_blocking.html?cat_id=56&mac=B827EBDA723E&domain=api.github.com">
</head>
<body></body>
</html>

Este é um redirecionamento baseado em atualização para (provavelmente) o roteador com um caminho de /shn_blocking.html. Procurar por esse caminho na internet sugere que esse é um recurso de algum roteador TP-Link que pode bloquear sites para controle dos pais - veja aqui sobre esse recurso do seu roteador específico TP-Link Deco . Provavelmente, você precisa excluir especificamente seu rasperry pi no roteador para que ele obtenha acesso não filtrado à Internet.