Nunca compre um domínio .online

 (0xsid.com)
7 pontos por GN⁺ 2026-02-26 | 1 comentários | Compartilhar no WhatsApp
  • Um desenvolvedor que sempre operou com foco em .com usou um domínio .online por meio de uma promoção gratuita e acabou enfrentando bloqueio do site e suspensão do domínio
  • O domínio .online recebido gratuitamente da Namecheap passou a exibir o aviso de ‘site perigoso’ do Google Safe Browsing, tornando o acesso indisponível
  • Na consulta WHOIS, apareceu o status serverHold, confirmando que o registro (Radix) havia suspendido o domínio
  • Como o processo de verificação do Google e as condições para liberação pelo registro dependiam um do outro, surgiu um ‘dilema de verificação’ que tornava a recuperação do domínio impossível
  • Domínios .com continuam sendo o padrão-ouro, e usar TLDs fora do padrão é arriscado

Promoção gratuita de .online da Namecheap

  • A Namecheap realizou uma promoção oferecendo gratuitamente domínios .online ou .site
    • O autor escolheu um domínio .online para um pequeno projeto de app
    • Pagou apenas a taxa da ICANN de US$ 0,20 e publicou o site conectando-o ao Cloudflare e GitHub Pages
  • No início tudo funcionava normalmente, mas depois Google e navegadores passaram a exibir o aviso de ‘site perigoso’, bloqueando o acesso

Bloqueio do site e suspensão do domínio

  • Tanto no Firefox quanto no Chrome, era exibida uma página de aviso em tela cheia, impedindo o acesso dos visitantes
    • O site continha apenas link para a App Store, capturas de tela e uma breve descrição
  • Na consulta WHOIS, o status do domínio apareceu como serverHold, confirmando que o registro (Radix) o havia suspendido diretamente
  • Ao executar o comando dig NS, as informações de nameserver apareciam vazias, embora a configuração no Cloudflare estivesse normal

Tentativas de recuperação e o dilema da verificação

  • O autor entrou em contato separadamente com a Namecheap e a Radix, mas a recuperação era impossível sem a remoção da blacklist do Google Safe Browsing
  • No Google Search Console, era preciso comprovar a propriedade do domínio para solicitar revisão, porém
    • como o domínio estava suspenso, não era possível adicionar registros DNS, e a própria verificação falhava
  • O Google retornava apenas a resposta de que “nenhuma página válida foi enviada”
  • O autor também tentou reportar falso positivo por vários canais, incluindo Safe Browsing, Safe Search e denúncia de phishing, mas sem efeito

A causa do problema e as lições

  • O autor aponta três erros
    • usar um TLD fora do padrão (.online)
    • não registrar o domínio no Google Search Console
    • não configurar monitoramento de disponibilidade
  • Tanto a Radix quanto o Google são criticados pela falta de transparência nos bloqueios automáticos e no processo de recuperação
  • A causa exata não está clara, mas são mencionados problemas de confiança do TLD .online ou a possibilidade de falso positivo

Conclusão e medidas posteriores

  • Depois, o site foi removido da blacklist do Google Safe Search, e o serverHold da Radix também foi suspenso, permitindo a recuperação do site
  • O autor afirma que .com ainda é o padrão-ouro” e que não pretende voltar a comprar outro TLD
  • O caso é apresentado como um alerta sobre os riscos que podem surgir ao usar TLDs baratos ou gratuitos

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-26
Comentários do Hacker News

  • Os loops intermináveis de verificação de conta das grandes empresas são um problema realmente doloroso
    Quando chega um e-mail dizendo “por favor, verifique sua conta”, é absurdo nem existir uma opção de clicar em “não fui eu”
    Não sei se quem projetou esses sistemas não entende do trabalho, ou se isso acontece porque os objetivos deles estão completamente desalinhados com os do consumidor

    • Tivemos algo parecido na nossa empresa. A pessoa que administrava a conta de desenvolvedor da Apple saiu de repente, e desde então estamos há meses em trocas de e-mail com o suporte da Apple
      Pedem documentos, depois não enviam o link seguro, aí esperamos mais uma semana, depois pedem de novo porque faltou uma frase no documento...
      Pediram cartão de visita, então tive que fazer um novo pela primeira vez em 20 anos. A essa altura, é um processo em que um golpista provavelmente passaria mais rápido
    • Também enfrentei esse loop com o Google. O Gmail exigiu 2FA, mas como eu não tinha número de telefone usei o e-mail de recuperação → esse e-mail de recuperação também exigiu 2FA → o e-mail de recuperação do e-mail de recuperação era um endereço sbcglobal.net que já não existia mais
      No fim, o problema foi que o Google usou o e-mail de recuperação de forma errada como meio de 2FA, e para resolver eu precisei entrar em contato com a AT&T. Foi uma situação de ter que pedir para atualizarem dados de cliente de 20 anos atrás
    • Mesmo quando existe um botão “não fui eu”, quase nada muda de fato
      Na maioria dos casos, a outra pessoa não consegue concluir a verificação por e-mail e não consegue mais fazer nada, e o site também não manda outros e-mails
      O problema é que, nesse estado, eu não consigo criar uma nova conta com o mesmo e-mail. Mas, no fim, dá para assumir a conta pelo processo de “redefinir senha”
    • Alguém continua adicionando meu endereço do Gmail como e-mail de backup da própria conta
      Eu removo toda vez que chega uma notificação do Gmail, mas fico preocupado se deixar isso passar poderia criar algum risco de sequestro de conta
    • No passado, alguém vinculou meu e-mail a uma conta bancária do Santander UK
      Tentei entrar em contato, mas só havia ligação internacional ou carta em papel como opção, então desisti e apenas separei esses e-mails em outra categoria

  • É chocante um registrador de domínios fazer suspensão de domínio com base no Google Safe Browsing
    Se for assim, o TLD inteiro passa a um nível em que não dá para confiar

    • TLDs como .online têm registro por 1 dólar, mas a renovação sobe para 30~35 dólares
      Esse tipo de política de preços vira um sinal que separa TLDs sérios de TLDs para golpes de curto prazo
    • O problema é o registry. Eu também trato disso na página de explicação sobre risco de domínio do tldrisk.com que criei
      Por causa da falta de supervisão da ICANN, os registries mudam as políticas como querem, e no fim as pessoas passam a confiar apenas em TLDs com longa história como .com e .org
      Pessoalmente, acho que só .com e .ca são confiáveis
    • A conclusão é que domínios administrados pela Radix devem ser evitados
    • O Safe Browsing opera no nível do site, mas a Radix usa isso como motivo para suspender a conta inteira
      Não faz sentido congelar toda a conta por algo que poderia ser resolvido bloqueando só o subdomínio
    • Talvez o próprio modelo de negócios da Radix não seja voltado para “uso sério”

  • A dona do TLD nesse caso era a Radix
    Ela opera .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website e outros
    radix.website

    • Esses TLDs são frequentemente associados a sites de golpe
      Talvez fosse melhor bloquear o TLD inteiro de uma vez
    • Eu também uso há anos um domínio .tech para e-mail pessoal, e não sabia que ele pertencia a um registry assim
    • No DNS de casa, bloqueei 66 TLDs e todos os ccTLDs IDN, mas esse tinha ficado de fora
      Agora estou usando o feed de inteligência de ameaças hagezi rpz para bloquear a maioria dos domínios esquisitos

  • “O domínio foi suspenso por causa da blacklist do Google Safe Browsing” é exatamente a ladeira escorregadia da censura contra a qual venho alertando há 10 anos
    Não ter registrado isso no Google Search Console foi um grande erro. No fim, a influência monopolista do Google só ficou maior

    • Isso não é culpa do Google, é responsabilidade da Radix
      Tudo bem Google e Microsoft manterem listas de sites maliciosos, mas é problemático usar isso como critério absoluto para suspender um domínio
      Não foi o Google que tomou esse poder; a Radix o entregou voluntariamente
    • O Google pode ter uma opinião, mas isso deve ficar separado da medida de suspensão do registrador
    • Claramente a culpa é da Radix
    • É como dissolver uma empresa porque ela tem nota baixa no BBB. É completamente sem sentido
    • Não consigo entender por que suspender um domínio com base na blacklist de um terceiro
      Por outro lado, mesmo quando se denuncia um site de golpe, em muitos casos ele não é removido

  • Se isso acontece porque o site não foi registrado no Google Search Console, então isso deveria levar a uma investigação antitruste
    É como se o Google tivesse virado o gatekeeper da própria existência na internet

  • Parece que a Radix criou um loop de feedback negativo
    Do ponto de vista do Google, ver o DNS sumir depois de cair no Safe Browsing pode ser interpretado por engano como “comportamento fraudulento”

  • O problema com .online não é ser “estranho”, e sim o fato de que era gratuito
    TLDs gratuitos atraem spammers e golpistas, e acabam sendo reconhecidos como sinal de golpe
    Claro que existem muitos domínios bons além de .com

    • .online, .top, .xyz, .info, .shop estão entre os TLDs mais usados por sites de golpe
      Como são baratos demais, servem para phishing de curto prazo. Ao criar um novo domínio, é melhor evitar esses TLDs
    • Provavelmente o domínio do OP já foi usado de forma maliciosa no passado, ou foi classificado automaticamente como alto risco por causa do estigma dos TLDs baratos
      Coisa grátis é boa, mas às vezes vem com um risco fatal

  • Pela minha experiência, domínios vanity são frequentemente bloqueados por sistemas corporativos de segurança
    O domínio .homes de um amigo ficou bloqueado por 6 meses no quad9 e na rede de segurança da empresa
    Quando comprei um TLD novo, também tive o acesso bloqueado por um mês por causa de recursos de “navegação segura” de alguns ISPs
    No fim, o que aprendi foi que domínios novos não recebem confiança por padrão

    • O mesmo vale para TLDs de países pouco comuns. Meu domínio .vg tem SPF, DKIM e DMARC configurados, mas mesmo assim vive indo para a caixa de spam
    • A Fortinet bloqueia domínios novos por padrão. Por isso hoje em dia eu nem consigo verificar sites de projetos novos
    • Esse tipo de política realmente tem algum efeito de segurança
      A maioria dos links de golpe que minha avó recebia usava domínio .top. Depois que bloqueei no DNS todos os sites registrados há menos de 90 dias, os cliques em golpes desapareceram completamente
      Por isso, quando compro domínios, excluo todos os TLDs de 1 dólar
    • No fim, a base da segurança na web ainda é uma estrutura de confiança no nome de domínio
      Como o TLD fica no final, é fácil para as pessoas deixarem passar

  • E-mails enviados de domínios como .online têm muito mais chance de cair no spam
    Isso fica claro nas estatísticas do Spamhaus sobre taxa de abuso por TLD

  • Uma vez o Google suspendeu minha conta inteira de apps Android sem explicar o motivo
    Era só um app simples de fitness, mas eu nunca soube a razão e também não havia como recuperar. Depois disso, abandonei completamente o desenvolvimento para Android

    • A empresa de um parente também está com as avaliações no Google congeladas há anos. Mesmo enviando recurso, nunca há resposta
      No fim, pequenos negócios ficam à mercê do humor do Vale do Silício
    • Parece que o Google quer permitir a distribuição de apps Android apenas na própria plataforma daqui para frente
    • Passei por algo parecido. Um dia, do nada, minha conta Google foi bloqueada e minha vida digital inteira ficou travada
      Depois disso, fiz um desligamento completo do Google (UnGoogled)