N’achetez jamais un domaine .online

 (0xsid.com)
7 points par GN⁺ 2026-02-26 | 1 commentaires | Partager sur WhatsApp
  • Un développeur habitué à travailler principalement avec des domaines .com a utilisé un domaine .online via une promotion gratuite, avant de subir le blocage du site et la suspension du domaine
  • Un domaine .online obtenu gratuitement chez Namecheap a reçu un avertissement « site dangereux » de Google Safe Browsing, rendant le site inaccessible
  • Une requête WHOIS a montré l’état serverHold, confirmant que le registre (Radix) avait suspendu le domaine
  • La procédure de vérification de Google et les conditions de levée imposées par le registre se sont entremêlées, créant un « dilemme de vérification » rendant la restauration du domaine impossible
  • Le domaine .com reste le gold standard, et l’usage de TLD non standard comporte des risques

La promotion gratuite .online de Namecheap

  • Namecheap a lancé une promotion offrant gratuitement des domaines .online ou .site
    • L’auteur a choisi un domaine .online pour un petit projet d’application
    • Il n’a payé que les frais ICANN de 0,20 dollar et a relié le domaine à Cloudflare et GitHub Pages pour mettre le site en ligne
  • Au départ, tout fonctionnait normalement, puis Google et les navigateurs ont affiché un avertissement « site dangereux », bloquant l’accès

Blocage du site et suspension du domaine

  • Firefox comme Chrome affichaient tous deux une page d’avertissement en plein écran, empêchant les visiteurs d’accéder au site
    • Le site ne contenait pourtant qu’un lien vers l’App Store, des captures d’écran et une brève description
  • Une requête WHOIS a montré que l’état du domaine était serverHold, confirmant une suspension directe par le registre (Radix)
  • L’exécution de la commande dig NS renvoyait des informations de serveurs de noms vides, alors que la configuration Cloudflare était normale

Tentatives de restauration et dilemme de vérification

  • L’auteur a contacté séparément Namecheap et Radix, mais la restauration était impossible sans retrait de la blacklist Google Safe Browsing
  • Il fallait prouver la propriété du domaine dans Google Search Console pour pouvoir demander un réexamen, mais
    • le domaine étant suspendu, il était impossible d’ajouter des enregistrements DNS, ce qui faisait échouer la vérification elle-même
  • Google ne renvoyait qu’une réponse indiquant qu’« aucune page valide n’avait été soumise »
  • L’auteur a tenté de signaler le faux positif par plusieurs canaux, notamment Safe Browsing, Safe Search et les signalements de phishing, sans résultat

Cause du problème et leçons à retenir

  • L’auteur souligne trois erreurs
    • utilisation d’un TLD non standard (.online)
    • absence d’enregistrement dans Google Search Console
    • absence de surveillance de disponibilité
  • Radix comme Google sont critiqués pour l’opacité du blocage automatique et des procédures de restauration
  • La cause exacte n’est pas claire, mais un problème de confiance lié au TLD .online ou un faux positif est évoqué

Conclusion et suite

  • Par la suite, le site a été retiré de la blacklist Safe Search de Google, et le serverHold de Radix a aussi été levé, ce qui a permis la restauration du site
  • L’auteur affirme que « .com reste le gold standard » et qu’il n’achètera plus jamais d’autre TLD
  • Ce cas est présenté comme un avertissement sur les risques pouvant accompagner l’usage de TLD bon marché ou gratuits

À lire aussi

1 commentaires

 
GN⁺ 2026-02-26
Avis Hacker News

  • Les boucles infinies de vérification de compte chez les grandes entreprises sont vraiment insupportables
    Quand on reçoit un e-mail disant « veuillez vérifier votre compte », c’est aberrant qu’il n’y ait même pas d’option « ce n’est pas moi »
    Je ne sais pas si les gens qui ont conçu ces systèmes sont incompétents, ou si leurs objectifs sont totalement désalignés de ceux des consommateurs

    • On a eu quelque chose de similaire dans notre entreprise. La personne qui gérait le compte développeur Apple est partie soudainement, et depuis, les allers-retours par e-mail avec le support Apple durent depuis des mois
      Ils demandent des documents, n’envoient pas le lien sécurisé, font encore attendre une semaine, puis redemandent parce qu’il manque une phrase dans un document…
      Ils ont même exigé une carte de visite, donc j’ai dû en refaire une pour la première fois depuis 20 ans. À ce stade, c’est un processus où un escroc passerait plus vite
    • J’ai moi aussi vécu ce genre de boucle avec Google. Gmail demandait la 2FA, mais comme je n’avais pas de numéro de téléphone, j’ai utilisé l’e-mail de récupération → cet e-mail de récupération demandait lui aussi la 2FA → l’e-mail de récupération de secours était une adresse sbcglobal.net déjà disparue
      Au final, le problème venait du fait que Google utilisait mal l’e-mail de récupération comme moyen de 2FA, et pour résoudre ça il fallait contacter AT&T. Je me suis retrouvé à leur demander de mettre à jour des informations client datant d’il y a 20 ans
    • Même quand il y a un bouton « ce n’est pas moi », dans la pratique ça ne change presque rien
      Dans la plupart des cas, l’autre personne n’arrive pas à terminer la vérification par e-mail, ne peut donc plus rien faire, et le site n’envoie pas d’autre message
      Le problème, c’est qu’ensuite je ne peux pas créer un nouveau compte avec la même adresse e-mail. En revanche, via la procédure de « réinitialisation du mot de passe », je peux finalement prendre le contrôle de ce compte
    • Quelqu’un continue d’ajouter mon adresse Gmail comme e-mail de secours de son compte
      Je la supprime à chaque notification de Gmail, mais je m’inquiète quand même : si je laisse ça traîner, est-ce qu’il pourrait y avoir un risque de détournement de compte ?
    • Il y a quelque temps, quelqu’un a relié mon adresse e-mail à un compte bancaire Santander UK
      J’ai essayé de les contacter, mais à part un appel international ou un courrier papier, il n’y avait aucun autre moyen, donc j’ai abandonné et j’ai simplement filtré ces e-mails à part

  • C’est choquant qu’un bureau d’enregistrement suspende un domaine en se basant sur Google Safe Browsing
    Avec ce genre de pratique, toute la TLD concernée devient impossible à considérer comme fiable

    • Les TLD comme .online coûtent 1 dollar à l’enregistrement, puis passent à 30–35 dollars au renouvellement
      Cette politique tarifaire devient un signal qui distingue les TLD sérieuses des TLD à arnaques de court terme
    • Le vrai problème, c’est le registre. J’en parle aussi sur la page d’explication des risques de domaine de tldrisk.com que j’ai créée
      Faute de supervision d’ICANN, les registres changent leurs politiques à leur guise, et au final les gens ne font confiance qu’aux TLD ayant une longue histoire comme .com ou .org
      Personnellement, je pense que seuls .com et .ca sont vraiment fiables
    • En conclusion, il faut éviter les domaines gérés par Radix
    • Safe Browsing fonctionne au niveau du site web, mais Radix s’en sert pour suspendre le compte entier
      Bloquer seulement le sous-domaine aurait suffi ; geler tout le compte n’a aucun sens
    • Il est même possible que le modèle économique de Radix ne vise pas un « usage sérieux »

  • Le propriétaire de la TLD dans cette affaire était Radix
    Ils exploitent .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website
    radix.website

    • Ces TLD sont souvent associées à des sites frauduleux
      Il vaudrait peut-être mieux bloquer carrément toute la TLD concernée
    • J’utilise moi aussi un domaine .tech pour mon e-mail personnel depuis des années, et je ne savais pas qu’il dépendait d’un tel registre
    • J’avais bloqué 66 TLD et toutes les ccTLD IDN sur le DNS de la maison, mais celle-ci m’avait échappé
      Maintenant, j’utilise le flux de renseignements sur les menaces hagezi rpz pour bloquer la plupart des domaines suspects

  • « Le domaine a été suspendu à cause de la liste noire Google Safe Browsing » : c’est exactement la pente glissante de la censure contre laquelle je mets en garde depuis 10 ans
    Ne pas s’être enregistré dans Google Search Console a été une grosse erreur. Cela n’a fait que renforcer davantage l’influence monopolistique de Google

    • Ce n’est pas la faute de Google, c’est celle de Radix
      Que Google et Microsoft tiennent des listes de sites malveillants, très bien ; mais s’en servir comme critère absolu pour suspendre un domaine, c’est ça le problème
      Google n’a pas pris ce pouvoir : Radix le lui a volontairement cédé
    • Google peut avoir une opinion, mais cela doit rester séparé des mesures de suspension du registraire
    • C’est clairement la faute de Radix
    • C’est comme dissoudre une entreprise parce qu’elle a une mauvaise note au BBB. C’est totalement absurde
    • Je ne comprends pas pourquoi on suspend un domaine sur la base d’une liste noire tierce
      À l’inverse, même quand on signale un site frauduleux, il arrive souvent qu’il ne soit pas supprimé

  • Si ce genre de chose arrive parce qu’on ne s’est pas enregistré dans Google Search Console, cela devrait mener à une enquête antitrust
    Google est alors devenu le gatekeeper de l’existence même sur Internet

  • On dirait que Radix a créé une boucle de rétroaction négative
    Du point de vue de Google, voir un DNS disparaître après un signalement Safe Browsing peut être interprété à tort comme un « comportement frauduleux »

  • Le problème n’est pas que .online soit « étrange », mais que c’était gratuit
    Les TLD gratuites attirent les spammeurs et les escrocs, et finissent par être perçues comme un signal de fraude
    Bien sûr, il existe aussi beaucoup de bons domaines en dehors de .com

    • .online, .top, .xyz, .info, .shop font partie des TLD les plus utilisées pour les sites frauduleux
      Elles sont trop bon marché et servent aux campagnes de phishing à court terme. Il faut éviter ces TLD quand on crée un nouveau domaine
    • Le domaine de l’OP a probablement été mal utilisé par le passé, ou bien classé automatiquement comme à haut risque à cause de la stigmatisation des TLD low cost
      Le gratuit, c’est bien, mais cela s’accompagne parfois d’un risque fatal

  • D’après mon expérience, les domaines vanity sont souvent bloqués par les systèmes de sécurité d’entreprise
    Le domaine .homes d’un ami a été bloqué pendant 6 mois par quad9 et par le réseau de sécurité de son entreprise
    Moi aussi, quand j’ai acheté une nouvelle TLD, l’accès a été bloqué pendant un mois chez certains FAI à cause de leurs fonctions de « navigation sécurisée »
    La leçon à retenir, c’est qu’un nouveau domaine ne bénéficie pas de la confiance par défaut

    • C’est pareil pour les TLD de pays peu courantes. Mon domaine .vg a bien SPF, DKIM et DMARC configurés, mais il finit quand même souvent dans les spams
    • Fortinet bloque les nouveaux domaines par défaut. Du coup, aujourd’hui, on ne peut même plus consulter un site de nouveau projet
    • Ce genre de politique a en réalité une certaine efficacité en matière de sécurité
      La plupart des liens frauduleux que recevait ma grand-mère étaient en .top. Depuis que j’ai bloqué au niveau DNS tous les sites enregistrés depuis moins de 90 jours, elle n’a plus cliqué une seule fois sur une arnaque
      Donc maintenant, quand j’achète un domaine, j’exclus toutes les TLD à 1 dollar
    • Au fond, la sécurité du web repose toujours sur une architecture de confiance accordée au nom de domaine
      Comme la TLD est à la fin, les gens ont facilement tendance à l’ignorer

  • Les e-mails envoyés depuis des domaines comme .online ont beaucoup plus de chances d’atterrir dans les spams
    Les statistiques de Spamhaus sur le taux de malveillance par TLD le montrent clairement

  • Google a déjà suspendu autrefois tout mon compte d’apps Android sans donner la moindre explication
    C’était une simple app de fitness, mais je n’ai jamais su pourquoi, ni pu récupérer le compte. Après ça, j’ai complètement abandonné le développement Android

    • L’entreprise d’un membre de ma famille a elle aussi ses avis Google gelés depuis des années. Même en faisant appel, aucune réponse ne vient
      Au final, les petites entreprises dépendent de l’humeur de la Silicon Valley
    • On dirait que Google veut à terme n’autoriser la distribution d’apps Android que sur sa propre plateforme
    • J’ai vécu quelque chose de similaire. Un jour, mon compte Google a été bloqué sans prévenir, et toute ma vie numérique s’est retrouvée verrouillée
      Depuis, je suis complètement dégooglisé