Jangan pernah membeli domain dotonline (.online)

 (0xsid.com)
7 poin oleh GN⁺ 2026-02-26 | 1 komentar | Bagikan ke WhatsApp
  • Seorang developer yang selama ini beroperasi dengan fokus pada .com menggunakan domain .online lewat promosi gratis, lalu mengalami pemblokiran situs dan penangguhan domain
  • Domain .online gratis dari Namecheap menerima peringatan ‘situs berbahaya’ dari Google Safe Browsing dan berubah menjadi tidak bisa diakses
  • Hasil WHOIS menunjukkan status serverHold, yang menandakan registry (Radix) telah menangguhkan domain tersebut
  • Proses verifikasi Google dan syarat pencabutan suspend dari registry saling terkait, sehingga terjebak dalam ‘dilema verifikasi’ yang membuat pemulihan domain mustahil
  • Domain .com masih menjadi gold standard, dan penggunaan TLD nonstandar berisiko

Promosi gratis .online dari Namecheap

  • Namecheap menjalankan promosi yang memberikan domain .online atau .site secara gratis
    • Penulis memilih domain .online untuk proyek aplikasi kecil
    • Hanya membayar biaya ICANN sebesar $0.20, lalu menghubungkannya ke Cloudflare dan GitHub Pages untuk membuka situs
  • Awalnya berjalan normal, tetapi kemudian peringatan ‘situs berbahaya’ dari Google dan browser muncul dan akses diblokir

Pemblokiran situs dan penangguhan domain

  • Baik di Firefox maupun Chrome, halaman peringatan layar penuh ditampilkan sehingga pengunjung tidak bisa mengakses situs
    • Situs tersebut hanya berisi tautan App Store, tangkapan layar, dan penjelasan singkat
  • Hasil WHOIS menunjukkan status domain serverHold, yang mengonfirmasi bahwa registry (Radix) menangguhkannya secara langsung
  • Saat menjalankan perintah dig NS, informasi nameserver kosong, sementara pengaturan Cloudflare tetap normal

Upaya pemulihan dan dilema verifikasi

  • Penulis menghubungi Namecheap dan Radix, tetapi pemulihan tidak mungkin dilakukan tanpa penghapusan dari blacklist Google Safe Browsing
  • Di Google Search Console, permintaan peninjauan hanya bisa diajukan setelah membuktikan kepemilikan domain, tetapi
    • karena domain ditangguhkan, penambahan record DNS tidak memungkinkan, sehingga verifikasi itu sendiri gagal
  • Google hanya mengembalikan respons bahwa “halaman valid tidak dikirimkan”
  • Penulis mencoba melaporkan false positive melalui berbagai jalur seperti Safe Browsing, Safe Search, dan laporan phishing, tetapi tidak berhasil

Penyebab masalah dan pelajaran yang didapat

  • Penulis menunjuk tiga kesalahan
    • menggunakan TLD nonstandar (.online)
    • tidak mendaftarkan domain ke Google Search Console
    • tidak menyiapkan pemantauan uptime
  • Baik Radix maupun Google dikritik karena pemblokiran otomatis dan ketidakjelasan prosedur pemulihan
  • Penyebab pastinya tidak jelas, tetapi disebut kemungkinan masalah kepercayaan pada TLD .online atau false positive

Kesimpulan dan tindak lanjut

  • Setelah itu, situs dihapus dari blacklist Safe Search Google, dan serverHold dari Radix juga dicabut sehingga situs pulih kembali
  • Penulis mengatakan bahwa .com masih menjadi gold standard dan ia tidak akan membeli TLD lain lagi
  • Kasus ini disajikan sebagai peringatan tentang risiko yang bisa muncul saat memakai TLD murah atau gratis

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-26
Komentar Hacker News

  • Loop verifikasi akun tanpa akhir dari perusahaan besar benar-benar masalah yang menyiksa
    Saat menerima email “tolong verifikasi akun Anda”, konyol rasanya bahkan tidak ada opsi untuk mengklik “ini bukan saya”
    Sulit tahu apakah orang yang merancang sistem seperti ini memang tidak paham pekerjaannya, atau karena tujuannya benar-benar tidak selaras dengan konsumen

    • Hal serupa juga terjadi di perusahaan kami. Orang yang mengelola akun developer Apple tiba-tiba resign, dan sejak itu bolak-balik email dengan tim dukungan Apple sudah berlangsung berbulan-bulan
      Mereka minta dokumen, lalu tidak mengirim tautan aman, lalu kami menunggu seminggu lagi, lalu minta ulang karena ada satu kalimat yang kurang di dokumen...
      Mereka bahkan meminta kartu nama, jadi saya harus membuatnya lagi untuk pertama kalinya dalam 20 tahun. Sampai titik ini, rasanya penipu justru akan lolos lebih cepat dari proses ini
    • Saya juga pernah mengalami loop seperti ini di Google. Gmail meminta 2FA, tapi karena tidak ada nomor telepon saya pakai email pemulihan → email pemulihan itu juga meminta 2FA → email pemulihan dari pemulihan itu adalah alamat sbcglobal.net yang sudah lama hilang
      Pada akhirnya masalahnya adalah Google salah memakai email pemulihan sebagai metode 2FA, dan untuk menyelesaikannya saya harus menghubungi AT&T. Situasinya jadi harus meminta pembaruan data pelanggan dari 20 tahun lalu
    • Bahkan kalau ada tombol “ini bukan saya”, biasanya hampir tidak ada yang benar-benar berubah
      Dalam kebanyakan kasus, pihak satunya gagal menyelesaikan verifikasi email sehingga tidak bisa melakukan apa pun lagi, dan situs juga berhenti mengirim email tambahan
      Masalahnya, dalam keadaan itu saya juga tidak bisa membuat akun baru dengan email yang sama. Tetapi lewat prosedur “reset kata sandi”, akhirnya akun itu bisa diambil alih
    • Seseorang terus menambahkan alamat Gmail saya sebagai email cadangan untuk akunnya
      Setiap kali ada notifikasi dari Gmail saya hapus, tapi saya khawatir kalau ini dibiarkan apakah ada risiko pembajakan akun
    • Dulu ada orang yang menautkan email saya ke akun bank Santander UK
      Saya sempat mau menghubungi mereka, tetapi satu-satunya cara hanya lewat telepon internasional atau surat kertas, jadi saya menyerah dan cuma memisahkan email-email itu ke folder tersendiri

  • Mengejutkan bahwa registrar domain melakukan suspensi domain dengan dasar Google Safe Browsing
    Kalau begini, seluruh TLD terkait jadi berada di tingkat yang tidak bisa dipercaya

    • TLD seperti .online punya struktur harga: registrasi 1 dolar, tetapi perpanjangan melonjak ke 30~35 dolar
      Kebijakan harga seperti ini menjadi sinyal pembeda antara TLD serius dan TLD untuk penipuan jangka pendek
    • Masalahnya ada pada registry. Ini juga dibahas di halaman penjelasan risiko domain milik tldrisk.com yang saya buat
      Karena tidak ada pengawasan ICANN, registry bisa mengubah kebijakan sesuka hati, dan pada akhirnya orang hanya percaya pada TLD dengan sejarah panjang seperti .com dan .org
      Secara pribadi, saya merasa hanya .com dan .ca yang bisa dipercaya
    • Kesimpulannya: hindari domain yang dikelola Radix
    • Safe Browsing bekerja di tingkat situs web, tetapi Radix memakainya sebagai alasan untuk menangguhkan seluruh akun
      Seharusnya cukup blokir subdomain saja, jadi membekukan seluruh akun jelas tidak masuk akal
    • Bisa jadi model bisnis Radix sendiri memang bukan untuk “penggunaan serius”

  • Pemilik TLD dalam kejadian ini adalah Radix
    Mereka mengoperasikan .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website, dan lainnya
    radix.website

    • TLD seperti ini sering dikaitkan dengan situs penipuan
      Mungkin malah lebih baik memblokir seluruh TLD tersebut
    • Saya juga sudah bertahun-tahun memakai domain .tech untuk email pribadi, dan tidak tahu kalau itu berada di bawah registry seperti ini
    • Di DNS rumah saya, saya memblokir 66 TLD dan semua IDN ccTLD, tetapi yang ini lolos
      Sekarang saya memakai feed intel ancaman hagezi rpz untuk memblokir sebagian besar domain aneh

  • “Domain disuspensi karena blacklist Google Safe Browsing” adalah lereng licin menuju sensor yang sudah saya peringatkan sejak 10 tahun lalu
    Tidak mendaftarkannya ke Google Search Console adalah kesalahan besar. Pada akhirnya pengaruh monopolistik Google jadi makin besar

    • Ini bukan tanggung jawab Google, melainkan Radix
      Tidak masalah kalau Google dan Microsoft memelihara daftar situs berbahaya, tetapi menjadikannya patokan mutlak untuk menangguhkan domain itulah masalahnya
      Bukan Google yang merebut kekuasaan, melainkan Radix yang menyerahkannya secara sukarela
    • Google boleh punya pendapat, tetapi itu harus dipisahkan dari tindakan suspensi registrar
    • Ini jelas salah Radix
    • Ini seperti membubarkan perusahaan hanya karena rating BBB-nya rendah. Benar-benar tidak masuk akal
    • Saya tidak paham mengapa domain disuspensi berdasarkan blacklist pihak ketiga
      Sebaliknya, bahkan saat situs penipuan dilaporkan, sering kali tetap tidak dihapus

  • Jika hal seperti ini bisa terjadi hanya karena domain tidak didaftarkan ke Google Search Console, maka ini harus berujung pada penyelidikan antimonopoli
    Artinya Google sudah menjadi penjaga gerbang bagi keberadaan di internet itu sendiri

  • Tampaknya Radix menciptakan loop umpan balik negatif
    Dari sudut pandang Google, setelah terjaring Safe Browsing lalu DNS-nya hilang, itu bisa disalahartikan sebagai “perilaku penipuan”

  • Masalahnya bukan karena .online itu “aneh”, tetapi karena pernah gratis
    TLD gratis menarik spammer dan penipu, lalu akhirnya dianggap sebagai sinyal penipuan
    Tentu saja masih banyak domain bagus selain .com

    • .online, .top, .xyz, .info, .shop adalah TLD teratas untuk situs penipuan
      Karena terlalu murah, TLD ini sering dipakai untuk phishing jangka pendek. Saat membuat domain baru, TLD seperti ini sebaiknya dihindari
    • Mungkin domain OP pernah disalahgunakan di masa lalu, atau otomatis diklasifikasikan berisiko tinggi karena stigma TLD murah
      Gratis memang menarik, tetapi kadang datang bersama risiko yang fatal

  • Berdasarkan pengalaman saya, domain vanity sering diblokir oleh sistem keamanan perusahaan
    Domain .homes milik teman saya diblokir oleh quad9 dan jaringan keamanan perusahaan selama 6 bulan
    Saat saya membeli TLD baru, selama sebulan domain itu juga diblokir oleh fitur “safe browsing” beberapa ISP
    Pada akhirnya pelajarannya adalah, domain baru pada dasarnya tidak langsung dipercaya

    • Hal yang sama berlaku untuk TLD negara yang jarang dipakai. Domain .vg saya, meski sudah mengatur SPF, DKIM, dan DMARC, tetap sering masuk folder spam
    • Fortinet memblokir domain baru secara default. Karena itu sekarang saya bahkan tidak bisa memeriksa situs proyek baru
    • Kebijakan seperti ini memang punya efek keamanan nyata
      Sebagian besar tautan penipuan yang diterima nenek saya memakai domain .top. Setelah semua situs yang didaftarkan dalam 90 hari diblokir di DNS, klik ke situs penipuan benar-benar hilang
      Karena itu saat membeli domain, saya juga mengeluarkan semua TLD seharga 1 dolar dari daftar pilihan
    • Pada akhirnya inti keamanan web masih tetap struktur yang mempercayai nama domain
      Karena TLD ada di bagian akhir, orang jadi mudah melewatkannya

  • Email yang dikirim dari domain seperti .online jauh lebih mungkin masuk folder spam
    Ini terlihat jelas di statistik rasio berbahaya per TLD dari Spamhaus

  • Dulu Google pernah menangguhkan seluruh akun aplikasi Android saya tanpa penjelasan apa pun
    Itu cuma aplikasi kebugaran sederhana, tetapi saya tidak pernah tahu alasannya dan mustahil memulihkannya. Sejak itu saya benar-benar berhenti mengembangkan Android

    • Bisnis kerabat saya juga sudah bertahun-tahun membeku di Google Review. Banding diajukan pun tidak pernah mendapat respons
      Pada akhirnya usaha kecil jadi tergantung suasana hati Silicon Valley
    • Google tampaknya ke depan ingin hanya mengizinkan distribusi aplikasi Android lewat platformnya sendiri
    • Saya juga mengalami hal serupa. Suatu hari akun Google saya tiba-tiba diblokir dan seluruh kehidupan digital saya ikut terkunci
      Sejak itu saya benar-benar berhenti bergantung pada Google (UnGoogled)