Seit dem Update der FW von 2.9.1 auf 2.10.1 verbindet sich meine Wallbox Warp3 nicht mehr per mqtts mit dem mqtt Broker. Es wurde zu dem Zeitpunkt nichts weiteres geändert!

warp3 log:

1. 2026-05-04 10:26:33,952 | mqtt | Unknown transport error

2. 2026-05-04 10:26:33,953 | mqtt | Failed to connect to broker.

mosquitto log:

1. 1777883329: New connection from 10.1.8.16:52112 on port 8883.

2. 1777883329: OpenSSL Error while trying to get the error[0]: error:0A000126:SSL routines::unexpected eof while reading

3. 1777883329: Client 10.1.8.16 [10.1.8.16:52112] disconnected: Protocol error.

Setup:

• Warp3 FW2.10.1

• mqtt Broker mosquitto 2.1.2

• eigene CA (Root CA u. Intermediate CA)

• mTLS

Was wurde bisher getestet:

• Verbindung anderer Clients > ok (nodered, shelly, evcc usw.)

• MQTT ohne TLS > ok

• CA / Zertifikate korrekt > ok, Verbindung mit openssl getestet

• mTLS korrekt > ok, Verbindung mit openssl getestet

• TLS 1.2 erzwungen > keine Verbindung

• RSA statt ECDSA getestet > keine Verbindung
  

Die Wallbox scheitert vermutlich am konkreten TLS-Handshake-Setup mit Mosquitto/OpenSSL

Kann das Problem jemand bestätigen? Gibt es hierzu ein bekanntes Problem in FW 2.10.1?

bearbeitet May 4, 2026 at 11:124. Mai 2026 von psmart

Kannst du einmal die verwendeten Zertifikate posten oder alternativ mir per PM schicken? Root CA, Intermediate CA und Leaf; sowohl die ECDSA- als auch die RSA-Varianten; nur Zertifikate, keine privaten Schlüssel.

Welche Cipher-Suites hast du auf dem MQTT-Server aktiviert? Wir haben nach 2.9.1 Cipher-Suites ohne PFS deaktiviert. Der Server muss also Cipher-Suites mit ECDHE-RSA oder ECDHE-ECDSA anbieten und du solltest die x25519-Kurve nicht explizit deaktivieren.

Mit 2.10.0 haben wir neben Cipher-Suites ohne PFS auch bei den elliptischen Kurven aufgeräumt und theoretisch ungenutzte optionale Kurven entfernt. Dem ist auch die NSA-Kurve P-384 zum Opfer gefallen. Da sie ziemlich lahm ist, aktuell keinen praktischen Sicherheitsgewinn bietet und halt optional ist, bin ich davon ausgegangen, dass sie niemand tatsächlich verwendet. Dein eigenes Rootzertifikat verwendet P-384, sodass die Wallbox das aktuell nicht verifizieren kann und die Verbindung abgebrochen wird. Zwischenzeitlich haben wir aber schon festgestellt, dass eine handvoll offizieller Root-CAs auch P-384 verwendet, sodass die nächste Firmware die Kurve wieder unterstützen wird. Du kannst bis zum nächsten Release auf die vorige Firmware zurückgehen.

On 5/4/2026 at 10:31 AM, psmart said:

Seit dem Update der FW von 2.9.1 auf 2.10.1 […]

Version 2.9.1 gibt es nicht. Meinst du 2.9.0?

Ok, das erklärt das Verhalten. Ja, ich meinte 2.9.0!

Vielen dank für die schnelle Klärung!

Die nächste Firmware enthält dann auch auf der Zertifikats-Unterseite einen Hinweis auf die unterstützten Schlüsseltypen, damit niemand auf die Idee kommt, ECDSA mit P-521 oder RSA mit 8192 Bit zu verwenden.