建议导入 DoH 域名相关证书（ RouterOS 无内置 ROOT CA ），勾选 Verify DoH Certificate 保证 TLS 完整，以 alidns 为例，导入 223.5.5.5 该 IP 的 CA 证书： /tool fetch url="http://secure.globalsign.com/cacert/root-r3.crt" /certificate import file-name=root-r3.crt
尽管官方手册中建议手动指定一个传统 DNS Server 用于解析 DoH 中地址的域名，但是使用诸如
https://223.5.5.5/dns-query
https://1.1.1.1/dns-query
此类直接使用 IP 的 DoH，亲测是可以正常工作的。
且暂未查到同时配置了传统 DNS 和 DoH 后 RouterOS 的行为描述，是仅用于查询 DoH 域名，还是随机 or 并发对所有服务器进行查询。若为后者，DoH 的意义就大打了折扣，建议暂时不配置传统 DNS 。
试用一段时间表示体验非常完美，很多网络的小问题都消失了。