.online alan adını asla satın almayın

 (0xsid.com)
7 puan yazan GN⁺ 2026-02-26 | 1 yorum | WhatsApp'ta paylaş
  • Uzun süredir .com odaklı çalışan bir geliştirici, ücretsiz promosyonla .online alan adı kullandıktan sonra site engellenmesi ve alan adı askıya alınması yaşadı
  • Namecheap'ten ücretsiz alınan .online alan adı, Google Safe Browsing'in 'tehlikeli site' uyarısı alarak erişilemez hale geldi
  • WHOIS sorgusu sonucunda serverHold durumu görüldü ve kayıt operatörünün (Radix) alan adını askıya aldığı doğrulandı
  • Google doğrulama süreci ile kayıt operatörünün kaldırma koşulları birbirine takılarak, alan adını kurtarmayı imkansız hale getiren bir 'doğrulama ikilemi' ortaya çıktı
  • .com alan adı hâlâ altın standart ve standart dışı TLD kullanımı riskli

Namecheap'in ücretsiz .online promosyonu

  • Namecheap, .online veya .site alan adlarını ücretsiz veren bir promosyon düzenledi
    • Yazar, küçük ölçekli bir uygulama projesi için .online alan adını seçti
    • Yalnızca 0,20 dolar ICANN ücreti ödeyip Cloudflare ve GitHub Pages'e bağlayarak siteyi yayına aldı
  • Başlangıçta normal çalıştı, ancak daha sonra Google ve tarayıcılarda 'tehlikeli site' uyarısı görünerek erişim engeli oluştu

Site engeli ve alan adı askıya alınması

  • Hem Firefox hem de Chrome'da tam ekran uyarı sayfası gösterildi ve ziyaretçilerin erişimi engellendi
    • Sitede yalnızca App Store bağlantısı, ekran görüntüleri ve kısa bir açıklama vardı
  • WHOIS sorgusunda alan adı durumu serverHold olarak göründü; bunun kayıt operatörü (Radix) tarafından doğrudan askıya alındığı anlaşıldı
  • dig NS komutu çalıştırıldığında ad sunucusu bilgisi boştu, ancak Cloudflare ayarları normal görünüyordu

Kurtarma girişimleri ve doğrulama ikilemi

  • Yazar, Namecheap ve Radix ile ayrı ayrı iletişime geçti, ancak Google Safe Browsing kara listesinden çıkarılmadan kurtarma mümkün değildi
  • Google Search Console'da alan adı sahipliğini kanıtlamak gerekiyordu ki inceleme talebi gönderilebilsin, ancak
    • alan adı askıda olduğu için DNS kaydı eklemek imkansızdı ve doğrulama baştan başarısız oldu
  • Google yalnızca "geçerli bir sayfa gönderilmedi" yanıtını döndürdü
  • Yazar; Safe Browsing, Safe Search, kimlik avı bildirimi gibi çeşitli kanallardan yanlış pozitif bildirimi yapmayı denedi, ancak sonuç alamadı

Sorunun nedeni ve çıkarılan dersler

  • Yazar üç hataya işaret ediyor
    • Standart dışı TLD (.online) kullanmak
    • Google Search Console'a kayıt yaptırmamak
    • Çalışırlık izlemeyi kurmamak
  • Hem Radix hem de Google, otomatik engelleme ve kurtarma süreçlerindeki şeffaflık eksikliği nedeniyle eleştiriliyor
  • Kesin neden net değil, ancak .online TLD'nin güvenilirlik sorunu veya yanlış pozitif ihtimali dile getiriliyor

Sonuç ve sonraki adımlar

  • Daha sonra site, Google'ın Safe Search kara listesinden çıkarıldı ve Radix'in serverHold durumu da kaldırılarak yeniden erişilebilir hale geldi
  • Yazar, ".com hâlâ altın standart ve bir daha başka TLD satın almayacağım" diyor
  • Bu vaka, ucuz veya ücretsiz TLD kullanırken ortaya çıkabilecek risklere dair bir uyarı olarak sunuluyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-26
Hacker News görüşleri

  • Büyük şirketlerin bitmek bilmeyen hesap doğrulama döngüleri gerçekten çok can sıkıcı
    “Lütfen hesabınızı doğrulayın” e-postası geldiğinde “bu ben değilim” diye tıklayabileceğin bir seçeneğin bile olmaması saçma
    Bu sistemleri tasarlayanların işi bilmemesinden mi, yoksa tüketiciyle hedeflerinin tamamen farklı olmasından mı kaynaklanıyor, emin değilim

    • Bizim şirkette de benzer bir durum yaşandı. Apple geliştirici hesabını yöneten kişi aniden işten ayrıldı ve o günden beri Apple destek ekibiyle gidip gelen e-postalar aylarca sürdü
      Belge istediler, sonra güvenli bağlantıyı göndermediler, bir hafta daha beklettiler, sonra belgede bir cümle eksik diye tekrar istediler…
      Kartvizit istediler; ben de 20 yıl sonra yeniden yaptırmak zorunda kaldım. Bu süreçte dolandırıcıların daha hızlı geçmesi bile mümkündü
    • Ben de Google’da böyle bir döngü yaşadım. Gmail 2FA istedi ama telefon numarası olmadığı için kurtarma e-postasını kullandım → o kurtarma e-postası da 2FA istedi → onun da kurtarma e-postası artık var olmayan sbcglobal.net adresiydi
      Sonunda sorunun, Google’ın kurtarma e-postasını yanlış biçimde 2FA yöntemi olarak kullanması olduğu ortaya çıktı ve çözmek için AT&T ile iletişime geçmek gerekti. 20 yıllık müşteri kaydını güncellemelerini istemek zorunda kaldım
    • “Bu ben değilim” düğmesi olsa bile pratikte çok az şey değişiyor
      Çoğu durumda karşı taraf e-posta doğrulamasını tamamlayamadığı için daha ileri gidemiyor ve site de artık ek posta göndermiyor
      Sorun şu ki, bu durumda ben aynı e-posta ile yeni hesap oluşturamıyorum. Ama “şifre sıfırla” süreci üzerinden sonunda o hesabı ele geçirmek mümkün oluyor
    • Birisi benim Gmail adresimi durmadan kendi hesabının yedek e-postası olarak ekliyor
      Gmail’den bildirim geldikçe siliyorum ama bunu görmezden bırakırsam hesap ele geçirme riski olur mu diye endişeleniyorum
    • Eskiden biri benim e-postamı Santander UK banka hesabına bağlamıştı
      İletişim kurmaya çalıştım ama seçenekler sadece uluslararası arama ya da kağıt mektup olunca vazgeçtim, e-postaları da ayrı filtrelemeye başladım

  • Alan adı kayıt şirketinin Google Safe Browsing’e dayanarak alan adını askıya alması şok edici
    Böyle oluyorsa ilgili TLD’nin tamamı güvenilmez sayılır

    • .online gibi TLD’lerde kayıt 1 dolar ama yenileme 30–35 dolara çıkıyor
      Bu fiyatlandırma modeli, ciddi TLD’lerle kısa ömürlü dolandırıcılık TLD’lerini ayıran bir işaret gibi
    • Sorun registry tarafında. Bunu benim tldrisk.com’daki alan adı risk açıklama sayfamda da ele alıyorum
      ICANN denetiminin yetersizliği yüzünden registry’ler politikaları kafalarına göre değiştiriyor, sonuçta insanlar sadece .com, .org gibi uzun geçmişe sahip TLD’lere güveniyor
      Ben şahsen yalnızca .com ve .ca uzantılarına güvenilebileceğini düşünüyorum
    • Sonuç olarak, Radix’in yönettiği alan adlarından uzak durmak gerek
    • Safe Browsing site bazında çalışıyor ama Radix bunu gerekçe gösterip hesabın tamamını askıya alıyor
      Sadece alt alan adını engellemek yeterliyken tüm hesabı dondurmak mantıksız
    • Belki de Radix’in iş modeli baştan beri “ciddi kullanım” üzerine kurulu değildir

  • Bu olaydaki TLD’nin sahibi Radix’ti
    .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website gibi uzantıları işletiyor
    radix.website

    • Bu tür TLD’ler dolandırıcılık siteleriyle sık sık ilişkilendiriliyor
      Hatta tüm TLD’yi toptan engellemek daha iyi olabilir
    • Ben de birkaç yıldır kişisel e-posta için .tech alan adı kullanıyordum ama bunun böyle bir registry’ye ait olduğunu bilmiyordum
    • Ev DNS’imde 66 TLD ve tüm IDN ccTLD’leri engellemiştim ama bu listede yoktu
      Artık hagezi rpz tehdit istihbaratı akışını kullanarak garip alan adlarının çoğunu engelliyorum

  • “Google Safe Browsing kara listesi yüzünden alan adı askıya alındı” meselesi, benim 10 yıldır uyardığım sansürün kaygan zemini örneği
    Google Search Console’a kayıt olmamak büyük hataydı. Sonuçta Google’ın tekel benzeri etkisi daha da büyüdü

    • Bu Google’ın değil, Radix’in sorumluluğu
      Google ve Microsoft’un zararlı site listeleri tutması normal ama bunu mutlak ölçüt kabul edip alan adını askıya almak sorunlu
      Google gücü zorla almadı; Radix bunu kendi isteğiyle teslim etti
    • Google’ın bir görüşü olabilir ama bu, registrar’ın askıya alma kararıyla ayrı tutulmalı
    • Burada açıkça hata Radix’te
    • BBB puanı düşük diye şirketi kapatmaya benziyor. Tam anlamıyla akılsızca
    • Neden üçüncü taraf bir kara listeye dayanarak alan adı askıya alınır, anlayamıyorum
      Öte yandan dolandırıcılık sitelerini bildirsen bile çoğu zaman kaldırılmıyorlar

  • Eğer bu durum Google Search Console’a kayıt olunmadığı için yaşanıyorsa, bu antitröst soruşturmasına konu olmalı
    Google fiilen internet üzerindeki varlığın kapı bekçisi haline gelmiş oluyor

  • Görünüşe göre Radix olumsuz bir geri besleme döngüsü oluşturmuş
    Google açısından, Safe Browsing’e takıldıktan sonra DNS’in ortadan kaybolması “dolandırıcılık davranışı” gibi yanlış yorumlanabilir

  • Sorun .online uzantısının “garip” olması değil, ücretsiz olmasıydı
    Ücretsiz TLD’ler spamcıları ve dolandırıcıları çeker, sonunda da dolandırıcılık sinyali olarak görülür
    Elbette .com dışında da iyi alan adları var

    • .online, .top, .xyz, .info, .shop dolandırıcılık sitelerinde en sık görülen TLD’ler arasında
      Fazla ucuz oldukları için kısa süreli phishing kampanyalarında kullanılıyorlar. Yeni alan adı alırken bu TLD’lerden kaçınmak gerekir
    • Muhtemelen OP’nin alan adı geçmişte kötüye kullanılmıştı ya da ucuz TLD damgası nedeniyle otomatik olarak yüksek riskli sınıfa atıldı
      Ücretsiz olan güzel ama bazen ölümcül riskler de beraberinde geliyor

  • Benim deneyimime göre vanity domain’ler kurumsal güvenlik sistemlerinde sık sık engelleniyor
    Bir arkadaşımın .homes alan adı 6 ay boyunca quad9 ve şirket güvenlik ağında engelliydi
    Ben de yeni bir TLD aldığımda, bazı ISP’lerin “güvenli gezinme” özelliği yüzünden bir ay boyunca erişim engeli yaşadım
    Sonunda öğrendiğim şey şu oldu: yeni alan adlarına varsayılan olarak güvenilmiyor

    • Nadir ülke TLD’lerinde de durum aynı. Benim .vg alan adımda SPF, DKIM ve DMARC’ın hepsi ayarlı olmasına rağmen e-postalar sık sık spam klasörüne düşüyor
    • Fortinet yeni alan adlarını varsayılan olarak engelliyor. Bu yüzden artık yeni proje sitelerini kontrol etmek bile zorlaştı
    • Bu tür politikalar gerçekten güvenlik açısından işe yarayabiliyor
      Büyükanneme gelen dolandırıcılık bağlantılarının çoğu .top alan adındaydı. DNS’te son 90 gün içinde kaydedilmiş tüm siteleri engelleyince dolandırıcılık tıklamaları tamamen bitti
      Bu yüzden ben de alan adı alırken 1 dolarlık TLD’lerin hepsini eliyorum
    • Sonuçta web güvenliğinin temeli hâlâ alan adlarına güvenme modeli üzerine kurulu
      TLD sonda yer aldığı için insanlar onu kolayca gözden kaçırabiliyor

  • .online gibi alan adlarından gelen e-postaların spam klasörüne düşme olasılığı çok daha yüksek
    Spamhaus’un TLD bazlı kötüye kullanım oranı istatistiklerine bakınca bu açıkça görülüyor

  • Eskiden Google, nedenini bile açıklamadan Android uygulama hesabımın tamamını askıya almıştı
    Basit bir fitness uygulamasıydı; sebebini öğrenemedim ve geri almak da mümkün olmadı. O olaydan sonra Android geliştirmeyi tamamen bıraktım

    • Bir akrabamın işletmesinde de Google yorumları yıllardır dondurulmuş durumda. İtiraz edilse bile hiçbir yanıt gelmiyor
      Sonuçta küçük işletmelerin kaderi Silikon Vadisi’nin keyfine kalmış gibi
    • Google sanki ileride Android uygulama dağıtımını da yalnızca kendi platformu üzerinden yapmak istiyor
    • Ben de benzer bir şey yaşadım. Bir gün ansızın Google hesabım bloke edildi ve bütün dijital hayatım kilitlendi
      O günden sonra tamamen Google’sızlaştım (UnGoogled)