В середине января 2026 года Cloudflare изменил цепочку сертификатов для своих DNS-over-HTTPS (DoH) эндпоинтов, включая 1.1.1.1 и cloudflare-dns.com, заменив удостоверяющий центр DigiCert на SSL.com. Это привело к потере доверия со стороны встроенного хранилища корневых сертификатов в MikroTik RouterOS версий 7.19 и выше, где корневые сертификаты SSL.com по умолчанию отсутствуют. В результате пользователи RouterOS, использующие DoH от Cloudflare, столкнулись с ошибками подключения вида SSL: no trusted CA certificate found, что фактически нарушило работу DNS-резолвинга в сетях на базе MikroTik.
Проблема получила широкую огласку 15 января 2026 года в треде Reddit r/mikrotik, где пользователь u/DonnieDonowitz1 описал отказ DoH в RouterOS 7.20.7. Обсуждение быстро набрало десятки комментариев, в которых специалисты подтвердили массовый характер инцидента: DoH-соединения внезапно переставали устанавливаться, вынуждая администраторов либо отключать DoH на клиентских маршрутизаторах, либо временно переходить на альтернативных провайдеров, таких как Google DNS (8.8.8.8). Отдельная критика была направлена на архитектурные ограничения RouterOS, в частности на поддержку только одного DoH-источника.
В качестве обходного решения пользователи рекомендуют вручную импортировать два корневых сертификата SSL.com:
SSL.com Root Certification Authority ECC
SSL.com Root Authority RSA
Несколько участников обсуждения подтвердили работоспособность этого подхода, отметив, что после импорта цепочка верификации восстанавливается полностью и DoH-соединения с Cloudflare снова устанавливаются без ошибок.
Для домена cloudflare-dns.com, обслуживающего DoH/TLS-эндпоинты, официальных анонсов о переходе на SSL.com не публиковалось, однако обсуждения указывают, что аналогичные обновления цепоче�� сертификатов уже происходили ранее без отдельного уведомления.
Обсуждение инцидента на форуме Mikrotik: Built in Root Certificate Authorities lacks CA used by cloudflare-dns.com
Вариант фикса для RouterOS с импортом сертификата:
Временно отключить проверку DoH и добавить резервный DNS-сервер 1.1.1.1 для восстановления разрешения имен.
/ip dns set verify-doh-cert=no
/ip dns set servers=1.1.1.1
Импортировать отсутствующий сертификат центра сертификации, например, с SSL.com.
/tool fetch url="https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem"
/certificate import file-name=SSLcomRootCertificationAuthorityECC.pem
Обратно включить проверку сертификата DoH и удалить резервный DNS-сервер.
/ip dns set verify-doh-cert=yes
/ip dns set servers=""
Источники:
Reddit — r/mikrotik: сбой DoH с Cloudflare в RouterOS • Cloudflare Blog — инциденты с сертификатами для 1.1.1.1 • Mikrotik Forum - Built in Root Certificate Authorities lacks CA used by cloudflare-dns.com • Mikrotik Forum - doh server connection error network is unreachable over DNS 1.1.1.1
