永远不要购买 .online 域名
Source: Hacker News
引言
我在构建项目的二十多年里一直是 .com 的忠实拥趸。后来,我破例为一个小项目购买了 .online 顶级域名。这就是它如何在火焰中燃尽的故事。
Namecheap 的诱人优惠
今年早些时候,Namecheap 推出了一项促销活动,允许每个账户免费选择一个 .online 或 .site 域名。我正在开发一个小产品——一个微型浏览器,心想“何不试试?”在支付了 0.20 美元的 ICANN 手续费后,我把域名绑定到 Cloudflare 和 GitHub,认为已经可以正常运行了。
消失的现场
几周后,在查看一个无关域名的流量数据时,我发现最近 48 小时内没有任何访问者。打开站点时出现了令人恐惧的全页 “此站点不安全” 警告。该站点仅包含一个指向 App Store 的链接、一些截图以及几行关于应用的文字——本不应触发拦截。
点击警告继续检查站点时,出现了 “未找到站点” 的错误。
初步排查
我确认 Cloudflare 仍在运行,且 CF Worker 已指向该域名,然后转向注册商。Namecheap 正确显示了域名及其到期日期和名称服务器。
然而,快速执行 DNS 查询却什么也没有返回:
dig NS getwisp.online +shortWHOIS 查询显示状态为 serverHold。
陷入无人区
我再次检查是否收到来自注册局、注册商、主机或 Google 的邮件——没有。我给 Namecheap 发邮件,他们回复说:
回复中说明保留是由注册局而非 Namecheap 施加的,原因是 “滥用操作”。随后我联系了 Radix(.online TLD 的注册局)滥用团队,收到了:
验证的死循环
Radix 表示域名被暂停是因为在 Google Safe Browsing 中被列入黑名单。要解除暂停,我需要在 Google Search Console 中验证所有权,这要求添加 DNS TXT 或 CNAME 记录。但域名无法解析,导致验证不可能。
死循环如下:
- Google 在域名完成验证之前不会移除 Safe Browsing 标记。
- Radix 在 Google 移除标记之前不会重新激活域名。
我通过多个 Google 渠道报告了误报:
所有尝试都返回 “未提交有效页面”,因为域名无法解析。作为最后手段,我向 Radix 提交了临时释放请求,以便 Google 能审查站点内容。
一连串的不幸
回顾过去,我犯了几项错误,今后不会再犯:
- 选择了冷门的 TLD。 .com 仍是黄金标准。
- 没有立即将域名添加到 Google Search Console。 我跳过了分析,认为不需要。
- 忽视了正常运行时间监控。 虽然站点只是一个登录页,但我本应具备基本的可观测性。
Radix 和 Google 都设有极其敏感的封禁机制和繁琐的解除流程,且没有任何通知或宽限期来处理问题。到底是 .online TLD 本身更容易产生误报,还是我的站点被提前举报,我永远无法得知。
算了,人生如此。再见,0.20 美元。
注释
- 原站点的镜像可在此处查看,以验证内容。
serverHold由注册局设置,处理起来极其麻烦——通常意味着严重问题。clientHold由注册商设置,主要与付款或账单问题相关。