TechOverflow Logo
TechOverflow

MikroTik RouterOS: DoH-Server-Verbindungsfehler "SSL: ssl: certificate not yet valid (6)" beheben

English Deutsch

Problem:

Der in deinen MikroTik-Router integrierte DNS-Server funktioniert nicht und das Protokoll zeigt viele

doh_certificate_not_yet_valid.txt
DoH server connection error: SSL: ssl: certificate not yet valid (6)

Meldungen:

MikroTik RouterOS Protokoll mit DoH-Server-Verbindungsfehler SSL-Zertifikat noch nicht gültig

Ursache des Fehlers:

Das Problem hierbei ist, dass die Uhrzeit in deinem MikroTik-Router (noch) nicht die korrekte Zeit kennt.

Beispielsweise könnte die Uhrzeit auf den 1. Januar 1970 eingestellt sein — das TLS-Zertifikat des DNS-over-HTTPS-Servers ist jedoch erst ab beispielsweise dem 1. November 2022 gültig. Deshalb teilt dir der MikroTik-Router mit, dass das Zertifikat nicht gültig ist.

Bevorzugte Lösung: Uhrzeit über NTP korrigieren

Teile dem MikroTik-Server einfach mit, die Zeit von einem öffentlichen NTP-Server abzurufen.

Öffne System -> NTP client in WebFig oder Winbox. In der Regel möchtest du den Upstream-Router als NTP-Server verwenden. In meinem Fall ist das 192.168.178.1.

Stelle sicher, dass Enabled aktiviert ist, füge den NTP-Server hinzu und klicke auf Apply.

Nach einigen Sekunden Wartezeit solltest du unter Status die Meldung synchronized sehen. Das bedeutet, dass die Uhrzeit des MikroTik-Routers korrekt eingestellt wurde und das Problem behoben sein sollte.

MikroTik RouterOS NTP-Client-Konfiguration mit synchronisiertem Status

Alternative Lösung: DNS-over-HTTPS deaktivieren

Diese Lösung verringert die Sicherheit deines Systems und ist daher nicht bevorzugt. Du solltest die Uhrzeit deines Routers immer korrekt einstellen — ein Nichtbeachten führt zu einer Reihe von Problemen.

Wenn du DNS-over-HTTPS dennoch deaktivieren möchtest, öffne IP -> DNS und entferne alle Server unter Use DoH servers, dann klicke auf Apply.

MikroTik RouterOS DNS-Einstellungen mit entfernten DoH-Servern

Danach verwendet dein Router die normalen DNS-Server — in meinem Fall 1.1.1.1. Stelle sicher, dass du dort einen Server einträgst, damit DNS-Anfragen funktionieren — im Zweifelsfall kannst du immer 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google) verwenden.

Beachte, dass Anfragen an diese Server weder verschlüsselt noch authentifiziert werden, sodass Anfragen von jedem abgefangen und/oder manipuliert werden können, der in der Lage ist, den Datenverkehr zu deinem Gerät zu manipulieren. Auch wenn DNS-over-HTTPS etwas langsamer ist (was wiederum durch die Caching-Funktion des DNS-Servers des MikroTik-Routers abgemildert wird), bietet es einen erheblichen Sicherheitsvorteil.

Check out similar posts by category: MikroTik, Networking