Cloudflare перешёл на сертификаты SSL.com для DoH-эндпоинтов, вызвав проблемы доверия в MikroTik RouterOS

В середине января 2026 года Cloudflare изменил цепочку сертификатов для своих DNS-over-HTTPS (DoH) эндпоинтов, включая 1.1.1.1 и cloudflare-dns.com, заменив удостоверяющий центр DigiCert на SSL.com. Это привело к потере доверия со стороны встроенного хранилища корневых сертификатов в MikroTik RouterOS версий 7.19 и выше, где корневые сертификаты SSL.com по умолчанию отсутствуют. В результате пользователи RouterOS, использующие DoH от Cloudflare, столкнулись с ошибками подключения вида SSL: no trusted CA certificate found, что фактически нарушило работу DNS-резолвинга в сетях на базе MikroTik.

Проблема получила широкую огласку 15 января 2026 года в треде Reddit r/mikrotik, где пользователь u/DonnieDonowitz1 описал отказ DoH в RouterOS 7.20.7. Обсуждение быстро набрало десятки комментариев, в которых специалисты подтвердили массовый характер инцидента: DoH-соединения внезапно переставали устанавливаться, вынуждая администраторов либо отключать DoH на клиентских маршрутизаторах, либо временно переходить на альтернативных провайдеров, таких как Google DNS (8.8.8.8). Отдельная критика была направлена на архитектурные ограничения RouterOS, в частности на поддержку только одного DoH-источника.

В качестве обходного решения пользователи рекомендуют вручную импортировать два корневых сертификата SSL.com:

SSL.com Root Certification Authority ECC

SSL.com Root Authority RSA

Несколько участников обсуждения подтвердили работоспособность этого подхода, отметив, что после импорта цепочка верификации восстанавливается полностью и DoH-соединения с Cloudflare снова устанавливаются без ошибок.

Для домена cloudflare-dns.com, обслуживающего DoH/TLS-эндпоинты, официальных анонсов о переходе на SSL.com не публиковалось, однако обсуждения