- Cloudflare в январе 2026 года сменил удостоверяющий центр для своих DoH-эндпоинтов с DigiCert на SSL.com.
- MikroTik RouterOS начиная с версии 7.19 не содержит корневых сертификатов SSL.com, из-за чего возникли ошибки доверия при использовании DoH Cloudflare.
- Проблему решают импортом корневых сертификатов SSL.com в MikroTik или временным отключением проверки сертификатов DoH.
В середине января 2026 года Cloudflare обновил цепочку сертификатов для своих DNS-over-HTTPS (DoH) сервисов, включая популярный адрес 1.1.1.1 и домен cloudflare-dns.com, заменив прежнего удостоверяющего центра DigiCert на SSL.com. Эта смена, осуществлённая без предварительных официальных анонсов, вызвала значительные сложности у пользователей маршрутизаторов MikroTik с RouterOS версии 7.19 и новее. Дело в том, что встроенное хранилище корневых сертификатов в этих версиях не содержит сертификаты SSL.com, что приводит к ошибкам вида SSL: no trusted CA certificate found и, как следствие, к нарушению DNS-разрешения через DoH в сетях, использующих данные устройства.
Информация о проблеме стала широко известна 15 января 2026 года после публикации на Reddit в сообществе r/mikrotik. Пользователь u/DonnieDonowitz1 подробно описал сбой, с которым столкнулись многие администраторы — внезапный отказ работы DoH в RouterOS 7.20.7. В обсуждении приняли участие десятки специалистов, которые подтвердили массовый характер инцидента. В частности, они указывали, что отказ соединения с DoH заставлял операторов либо отключать использование DoH на маршрутизаторах, либо переключаться на альтернативных DNS-провайдеров, таких как Google DNS (8.8.8.8). Дополнительная критика была направлена на архитектурные ограничения RouterOS, где технически поддерживается только один источник DoH.
В качестве временного решения предложено вручную импортировать два корневых сертификата центра SSL.com: SSL.com Root Certification Authority ECC и SSL.com Root Authority RSA. Пользователи, опробовавшие этот метод, подтвердили его эффективность — после импорта сертификатов цепочка верификации восстанавливается, и DoH-соединения с Cloudflare вновь работают без ошибок.
Кроме того, для восстановления работы DNS можно временно отключить проверку сертификатов DoH в настройках RouterOS и установить резервный DNS-сервер. После успешного импорта сертификатов проверку можно вновь включить, а резервный сервер убрать. Такой подход позволяет минимизировать простои и сохранить функциональность сетевой инфраструктуры до выхода официальных обновлений MikroTik, которые смогут встроить новые корневые сертификаты.
Стоит отметить, что подобные изменения цепочек сертификатов Cloudflare уже происходили в прошлом, при этом без широкого информационного оповещения. Данная ситуация подчёркивает важность координации между поставщиками инфраструктурных сервисов и производителями сетевого оборудования для обеспечения стабильности и безопасности DNS-сервисов, особенно при использовании современных протоколов, таких как DNS-over-HTTPS.
Источники информации включают обсуждения на Reddit и официальные форумы MikroTik, где специалисты подробно анализируют причины инцидента и методы его обхода, а также блог Cloudflare с релевантными заметками по безопасности.
