Đừng bao giờ mua tên miền .online

 (0xsid.com)
7 điểm bởi GN⁺ 2026-02-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một nhà phát triển vốn vận hành chủ yếu với .com đã dùng tên miền .online qua chương trình khuyến mãi miễn phí và gặp phải tình trạng website bị chặn và tên miền bị đình chỉ
  • Tên miền .online nhận miễn phí từ Namecheap bị Google Safe Browsing gắn cảnh báo ‘trang web nguy hiểm’, khiến trang chuyển sang trạng thái không thể truy cập
  • Kết quả tra cứu WHOIS cho thấy trạng thái serverHold, xác nhận registry (Radix) đã đình chỉ tên miền
  • Quy trình xác minh của Google và điều kiện gỡ đình chỉ của registry mắc kẹt với nhau, tạo thành “thế lưỡng nan xác minh” khiến không thể khôi phục tên miền
  • Tên miền .com vẫn là tiêu chuẩn vàng, và việc dùng TLD không phổ biến tiềm ẩn rủi ro

Chương trình miễn phí .online của Namecheap

  • Namecheap triển khai chương trình tặng miễn phí tên miền .online hoặc .site
    • Tác giả chọn tên miền .online cho một dự án ứng dụng nhỏ
    • Chỉ trả phí ICANN 0,20 USD rồi kết nối với Cloudflare và GitHub Pages để mở website
  • Ban đầu mọi thứ hoạt động bình thường, nhưng sau đó Google và trình duyệt hiển thị cảnh báo ‘trang web nguy hiểm’ và chặn truy cập

Website bị chặn và tên miền bị đình chỉ

  • Cả Firefox và Chrome đều hiển thị trang cảnh báo toàn màn hình, ngăn khách truy cập tiếp cận website
    • Trang chỉ chứa liên kết App Store, ảnh chụp màn hình và mô tả ngắn
  • Kết quả tra cứu WHOIS cho thấy trạng thái tên miền là serverHold, xác nhận registry (Radix) đã trực tiếp đình chỉ
  • Khi chạy lệnh dig NS, thông tin nameserver trống, trong khi cấu hình Cloudflare vẫn ở trạng thái bình thường

Nỗ lực khôi phục và thế lưỡng nan xác minh

  • Tác giả đã liên hệ riêng với Namecheap và Radix, nhưng không thể khôi phục nếu chưa được gỡ khỏi blacklist của Google Safe Browsing
  • Muốn gửi yêu cầu xem xét trong Google Search Console thì phải chứng minh quyền sở hữu tên miền, nhưng
    • tên miền đã bị đình chỉ nên không thể thêm bản ghi DNS, khiến việc xác minh tự nó thất bại
  • Google chỉ trả về phản hồi rằng “không có trang hợp lệ nào được gửi”
  • Tác giả cũng thử báo cáo nhận diện nhầm qua nhiều kênh như Safe Browsing, Safe Search, báo cáo phishing nhưng không có hiệu quả

Nguyên nhân vấn đề và bài học rút ra

  • Tác giả chỉ ra ba sai lầm
    • sử dụng TLD không phổ biến (.online)
    • không đăng ký Google Search Console
    • không thiết lập giám sát tình trạng hoạt động
  • Cả Radix và Google đều bị chỉ trích vì cơ chế chặn tự động và quy trình khôi phục thiếu minh bạch
  • Dù nguyên nhân chưa rõ ràng, bài viết nhắc tới vấn đề độ tin cậy của TLD .online hoặc khả năng nhận diện nhầm

Kết luận và bước xử lý sau đó

  • Sau đó website đã bị gỡ khỏi blacklist Safe Search của Google, serverHold của Radix cũng được gỡ, và website được khôi phục
  • Tác giả nói rằng “.com vẫn là tiêu chuẩn vàng, và tôi sẽ không bao giờ mua TLD khác nữa
  • Trường hợp này được đưa ra như một lời cảnh báo về rủi ro có thể phát sinh khi dùng TLD giá rẻ hoặc miễn phí

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-26
Ý kiến Hacker News

  • Vòng lặp xác minh tài khoản bất tận của các tập đoàn lớn thật sự là một vấn đề đau đầu
    Khi nhận được email “vui lòng xác minh tài khoản”, thật khó hiểu là thậm chí còn không có tùy chọn bấm “đây không phải tôi”
    Không rõ là những người thiết kế hệ thống này không hiểu công việc, hay là mục tiêu của họ hoàn toàn lệch khỏi người dùng

    • Công ty tôi cũng từng gặp chuyện tương tự. Người quản lý tài khoản Apple Developer đột ngột nghỉ việc, và từ đó đến nay chúng tôi đã email qua lại với bộ phận hỗ trợ Apple suốt nhiều tháng
      Họ yêu cầu tài liệu rồi lại không gửi link bảo mật, lại chờ thêm một tuần, rồi lại yêu cầu lại vì thiếu đúng một câu trong giấy tờ…
      Họ còn đòi danh thiếp nên tôi phải làm lại lần đầu tiên sau 20 năm. Với quy trình này thì kẻ lừa đảo còn có vẻ dễ qua hơn
    • Tôi cũng từng mắc vào vòng lặp kiểu này với Google. Gmail yêu cầu 2FA nhưng tôi không có số điện thoại nên dùng email khôi phục → email khôi phục đó cũng yêu cầu 2FA → email khôi phục của email khôi phục lại là địa chỉ sbcglobal.net đã không còn tồn tại
      Cuối cùng vấn đề là Google đã dùng sai email khôi phục như một phương thức 2FA, và để giải quyết tôi phải liên hệ AT&T. Tức là phải nhờ họ cập nhật thông tin khách hàng từ 20 năm trước
    • Ngay cả khi có nút “đây không phải tôi” thì thực tế cũng hiếm khi thay đổi được gì
      Trong đa số trường hợp, phía kia không hoàn tất được xác minh email nên cũng không làm gì thêm được nữa, và trang web cũng thôi không gửi thêm mail
      Vấn đề là trong trạng thái đó tôi lại không thể tạo tài khoản mới bằng cùng email. Nhưng thông qua quy trình “đặt lại mật khẩu”, cuối cùng tôi vẫn có thể chiếm quyền tài khoản đó
    • Có ai đó cứ liên tục thêm địa chỉ Gmail của tôi làm email dự phòng cho tài khoản của họ
      Mỗi khi Gmail gửi thông báo thì tôi lại xóa, nhưng tôi vẫn lo rằng nếu mặc kệ chuyện này thì có thể dẫn đến nguy cơ bị chiếm tài khoản không
    • Trước đây từng có người liên kết email của tôi với tài khoản ngân hàng Santander UK của họ
      Tôi có định liên hệ nhưng chỉ có thể gọi quốc tế hoặc gửi thư giấy, nên rồi bỏ cuộc và chỉ lọc riêng các email đó ra

  • Việc nhà đăng ký tên miền đình chỉ tên miền chỉ dựa trên Google Safe Browsing thật sự gây sốc
    Làm kiểu này thì cả TLD đó sẽ trở nên không còn đáng tin cậy

    • Các TLD như .online thường có giá đăng ký chỉ 1 đô, nhưng gia hạn thì nhảy lên 30~35 đô
      Chính sách giá như vậy trở thành tín hiệu để phân biệt TLD nghiêm túc và TLD dành cho lừa đảo ngắn hạn
    • Vấn đề nằm ở registry. Tôi cũng đã nói về điều này trong trang giải thích rủi ro tên miền trên tldrisk.com mà tôi làm
      Do ICANN gần như không giám sát, các registry có thể tùy ý thay đổi chính sách, và cuối cùng mọi người chỉ còn tin vào những TLD có lịch sử lâu dài như .com, .org
      Cá nhân tôi thấy chỉ có .com.ca là đáng tin
    • Kết luận là nên tránh các tên miền do Radix quản lý
    • Safe Browsing hoạt động ở cấp độ website, nhưng Radix lại lấy đó làm lý do để đình chỉ cả tài khoản
      Chỉ cần chặn subdomain là đủ mà lại đóng băng toàn bộ tài khoản thì thật vô lý
    • Có khi ngay từ đầu mô hình kinh doanh của Radix đã không nhắm đến người dùng nghiêm túc

  • Chủ sở hữu TLD trong vụ này là Radix
    Họ vận hành .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website v.v.
    radix.website

    • Những TLD như vậy thường xuyên gắn với các trang lừa đảo
      Có lẽ chặn cả TLD đó luôn còn tốt hơn
    • Tôi cũng đã dùng tên miền .tech cho email cá nhân suốt mấy năm mà không hề biết nó thuộc registry kiểu này
    • Tôi đã chặn 66 TLD và toàn bộ IDN ccTLD trong DNS ở nhà, mà cái này lại chưa có trong danh sách
      Giờ thì tôi dùng feed threat intelligence hagezi rpz để chặn phần lớn các tên miền kỳ quặc

  • Việc “tên miền bị đình chỉ vì blacklist của Google Safe Browsing” chính là dốc trượt của kiểm duyệt mà tôi đã cảnh báo từ 10 năm trước
    Không đăng ký với Google Search Console là một sai lầm lớn. Rốt cuộc điều đó lại càng làm tăng ảnh hưởng độc quyền của Google

    • Đây không phải lỗi của Google mà là trách nhiệm của Radix
      Google và Microsoft duy trì danh sách site độc hại thì không sao, nhưng lấy nó làm tiêu chuẩn tuyệt đối để đình chỉ tên miền mới là vấn đề
      Không phải Google tự giành quyền lực, mà là Radix tự nguyện trao nó đi
    • Google có thể có nhận định riêng, nhưng điều đó phải tách biệt với hành động đình chỉ của registrar
    • Rõ ràng đây là lỗi của Radix
    • Chẳng khác gì giải thể một công ty chỉ vì điểm BBB thấp. Hoàn toàn phi lý
    • Tôi không hiểu vì sao lại đình chỉ tên miền dựa trên blacklist của bên thứ ba
      Trái lại, cũng có rất nhiều trường hợp báo cáo site lừa đảo rồi mà vẫn không bị gỡ xuống

  • Nếu chuyện này xảy ra chỉ vì không đăng ký Google Search Console, thì nó đáng bị điều tra chống độc quyền
    Google coi như đã trở thành người gác cổng của chính sự tồn tại trên Internet

  • Có vẻ Radix đã tạo ra một vòng phản hồi tiêu cực
    Từ phía Google, họ có thể thấy Safe Browsing vừa gắn cờ xong thì DNS biến mất, rồi hiểu nhầm đó là “hành vi lừa đảo”

  • Vấn đề không phải .online là “kỳ quặc”, mà là nó miễn phí
    TLD miễn phí thu hút spammer và kẻ lừa đảo, rồi cuối cùng bị xem như dấu hiệu của lừa đảo
    Tất nhiên ngoài .com vẫn còn nhiều tên miền ổn

    • .online, .top, .xyz, .info, .shop là những TLD hàng đầu của các site lừa đảo
      Vì chúng quá rẻ nên phù hợp cho phishing ngắn hạn. Khi tạo tên miền mới thì nên tránh các TLD như vậy
    • Có lẽ tên miền của OP từng bị lạm dụng trước đây, hoặc bị tự động xếp vào nhóm rủi ro cao vì cái mác TLD giá rẻ
      Miễn phí thì tốt thật, nhưng đôi khi đi kèm rủi ro chí mạng

  • Theo kinh nghiệm của tôi, vanity domain thường xuyên bị hệ thống bảo mật doanh nghiệp chặn
    Tên miền .homes của bạn tôi đã bị quad9 và mạng bảo mật công ty chặn suốt 6 tháng
    Tôi cũng từng mua một TLD mới và bị một số ISP chặn truy cập trong cả tháng do tính năng “safe browsing” của họ
    Điều tôi rút ra là tên miền mới mặc định không được tin tưởng

    • Các country TLD ít gặp cũng vậy. Tên miền .vg của tôi dù đã cấu hình SPF, DKIM, DMARC đầy đủ nhưng vẫn thường rơi vào spam
    • Fortinet mặc định chặn các tên miền mới. Vì thế giờ tôi thậm chí còn không kiểm tra được các site dự án mới
    • Chính sách kiểu này thực tế vẫn có hiệu quả bảo mật
      Phần lớn link lừa đảo gửi cho bà tôi đều là tên miền .top. Sau khi chặn toàn bộ site đăng ký trong vòng 90 ngày ở DNS, việc bấm nhầm link lừa đảo đã biến mất hoàn toàn
      Vì vậy khi mua tên miền, tôi cũng loại hết mọi TLD giá 1 đô
    • Cuối cùng thì cốt lõi của bảo mật web vẫn là một cấu trúc dựa vào việc tin tên miền
      TLD nằm ở cuối nên mọi người rất dễ bỏ sót

  • Email gửi từ các tên miền như .onlinekhả năng vào thư rác cao hơn rất nhiều
    Chỉ cần nhìn thống kê tỷ lệ độc hại theo TLD của Spamhaus là thấy rõ

  • Trước đây Google từng đình chỉ toàn bộ tài khoản ứng dụng Android của tôi mà không hề giải thích lý do
    Chỉ là một app fitness đơn giản, nhưng tôi không biết vì sao và cũng không thể khôi phục. Từ đó về sau tôi bỏ hẳn phát triển Android

    • Doanh nghiệp của người thân tôi cũng bị Google review đóng băng suốt mấy năm. Gửi kháng nghị cũng không nhận được phản hồi nào
      Cuối cùng thì doanh nghiệp nhỏ phải sống theo tâm trạng của Thung lũng Silicon
    • Có vẻ Google sắp muốn chỉ cho phép phân phối app Android trên chính nền tảng của họ
    • Tôi cũng từng gặp chuyện tương tự. Một ngày nọ tài khoản Google bỗng nhiên bị khóa, khiến toàn bộ đời sống số của tôi bị tê liệt
      Kể từ sau đó tôi đã thoát Google hoàn toàn (UnGoogled)