Cloudflare без предупреждения сменил сертификаты, оставив тысячи пользователей MikroTik без интернета
Развернулась классическая драма на стыке интересов ИТ-гигантов и вендоров сетевого оборудования. Cloudflare, без широкого предупреждения, сменил удостоверяющий центр для своих DNS-серверов 1.1.1.1, используемых в технологии DoH (DNS-over-HTTPS). Компания перешла с сертификатов от DigiCert на SSL[.]com.
Казалось бы, рутинное обновление. Однако выяснился критический нюанс: в стандартном хранилище доверенных корневых сертификатов MikroTik RouterOS (начиная с версий 7.19 и выше) сертификаты SSL[.]com отсутствуют. В результате устройства MikroTik, настроенные на использование 1.1.1.1 через DoH, перестали доверять шифрованному соединению.
Это привело к массовому сбою. Ведь у тысяч пользователей по всему миру интернет-соединения, зависящие от DoH, начали отваливаться с ошибкой "SSL: no trusted CA certificate found".
Что делать пользователям MikroTik?
Чтобы восстановить работу DoH, необходимо вручную импортировать корневой сертификат SSL[.]com в доверенное хранилище RouterOS. А именно:
- SSL.com Root Certification Authority ECC
- SSL.com Root Authority RSA
Вариант фикса для RouterOS с импортом сертификата:
- Временно отключить проверку DoH и добавить резервный DNS-сервер 1.1.1.1 для восстановления разрешения имен.
/ip dns set verify-doh-cert=no
/ip dns set servers=1.1.1.1
2. Импортировать отсутствующий сертификат центра сертификации, например, с SSL.com.
/tool fetch url="https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem"
/certificate import file-name=SSLcomRootCertificationAuthorityECC.pem
3. Обратно включить проверку сертификата DoH и удалить резервный DNS-сервер.
/ip dns set verify-doh-cert=yes
/ip dns set servers=""
Источники: Типичный Сисадмин , Reddit - Cloudflare DNS 1.1.1.1 , MikroTik- DoH server connection error