如何修复 MikroTik RouterOS DoH 服务器连接错误:SSL: ssl: certificate not yet valid (6)
问题:
集成到你的 MikroTik 路由器中的 DNS 服务器不工作,日志显示大量
DoH server connection error: SSL: ssl: certificate not yet valid (6)消息:

错误原因:
这里的问题是你的 MikroTik 路由器中的时钟(还)不知道正确的时间。
例如,时钟可能设置为 1970 年 1 月 1 日 - 但是,DNS-over-HTTPS 服务器的 TLS 证书仅从例如 2022 年 11 月 1 日开始有效。这就是 MikroTik 路由器告诉你证书无效的原因。
首选解决方案:使用 NTP 修复时间
只需告诉 MikroTik 服务器从公共 NTP 服务器获取时间。
在 WebFig 或 Winbox 中打开 System -> NTP client。通常,你想使用上游路由器作为 NTP 服务器。在我的情况下,是 192.168.178.1。
确保 Enabled 被选中,添加 NTP 服务器并点击 Apply。
等待几秒钟后,你应该在 Status 下看到 synchronized。这意味着 MikroTik 路由器的时钟已正确设置,问题应该已修复。

备选解决方案:禁用 DNS-over-HTTPs
此解决方案会降低系统的安全性,因此不是首选。你应该始终正确设置路由器的时间,不这样做会导致一系列问题。
但是,如果你仍打算禁用 DNS-over-HTTPS,打开 IP -> DNS 并删除 Use DoH servers 下的所有服务器,然后点击 Apply。

之后,你的路由器将使用普通 DNS 服务器 - 在我的情况下是 1.1.1.1。确保在那里输入一些服务器以确保 DNS 请求工作 - 如果不确定,你始终可以使用 1.1.1.1 (Cloudflare) 或 8.8.8.8 (Google)。
注意,对这些服务器的请求既不会加密也不会认证,因此任何能够操纵到你设备流量的人都可以嗅探和/或操纵请求。尽管 DNS-over-HTTPS 稍慢(反过来由 MikroTik 路由器 DNS 服务器的缓存功能缓解),但它提供了巨大的安全优势。