Kauft niemals eine .online-Domain

 (0xsid.com)
7 Punkte von GN⁺ 2026-02-26 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Entwickler, der bisher auf .com gesetzt hatte, nutzte im Rahmen einer Gratisaktion eine .online-Domain und erlebte daraufhin eine Blockierung der Website und die Sperrung der Domain
  • Eine kostenlos über Namecheap erhaltene .online-Domain bekam bei Google Safe Browsing die Warnung „gefährliche Website“ und war danach nicht mehr erreichbar
  • Eine WHOIS-Abfrage zeigte den Status serverHold, womit bestätigt war, dass die Registry (Radix) die Domain gesperrt hatte
  • Da sich das Google-Verifizierungsverfahren und die Bedingungen zur Aufhebung durch die Registry gegenseitig blockierten, entstand ein „Verifizierungsdilemma“, das eine Wiederherstellung unmöglich machte
  • .com-Domains bleiben weiterhin der Goldstandard, und die Nutzung nicht standardmäßiger TLDs ist riskant

Namecheaps kostenlose .online-Aktion

  • Namecheap führte eine Aktion mit kostenlosen .online- oder .site-Domains durch
    • Der Autor entschied sich für eine .online-Domain für ein kleines App-Projekt
    • Er zahlte nur die ICANN-Gebühr von 0,20 US-Dollar und verband die Domain mit Cloudflare und GitHub Pages, um die Website zu veröffentlichen
  • Anfangs funktionierte alles normal, später erschienen jedoch bei Google und in Browsern Warnungen vor einer „gefährlichen Website“, wodurch der Zugriff blockiert wurde

Website-Blockierung und Domain-Sperre

  • Sowohl in Firefox als auch in Chrome wurde eine Vollbild-Warnseite angezeigt, die Besucher am Zugriff hinderte
    • Die Website enthielt nur einen App-Store-Link, Screenshots und eine kurze Beschreibung
  • Eine WHOIS-Abfrage zeigte den Domain-Status serverHold, was bestätigte, dass die Registry (Radix) die Sperre direkt verhängt hatte
  • Beim Ausführen des Befehls dig NS waren keine Nameserver-Informationen vorhanden, während die Cloudflare-Konfiguration in Ordnung war

Wiederherstellungsversuche und das Verifizierungsdilemma

  • Der Autor kontaktierte Namecheap und Radix, erhielt jedoch die Antwort, dass eine Wiederherstellung ohne Entfernung aus der Google-Safe-Browsing-Blacklist nicht möglich sei
  • In der Google Search Console musste zuerst die Eigentümerschaft an der Domain nachgewiesen werden, um eine Überprüfung beantragen zu können, aber
    • da die Domain gesperrt war, konnten keine DNS-Einträge hinzugefügt werden, wodurch schon die Verifizierung scheiterte
  • Google gab lediglich die Antwort zurück, dass „keine gültige Seite eingereicht wurde“
  • Der Autor versuchte über mehrere Wege, darunter Safe Browsing, Safe Search und Phishing-Meldungen, den Fehlalarm zu melden, jedoch ohne Erfolg

Ursache des Problems und Lehren daraus

  • Der Autor nennt drei Fehler
    • Nutzung einer nicht standardmäßigen TLD (.online)
    • Keine Registrierung in der Google Search Console
    • Kein Monitoring für die Verfügbarkeit eingerichtet
  • Sowohl Radix als auch Google werden wegen der Intransparenz automatischer Sperr- und Wiederherstellungsprozesse kritisiert
  • Die genaue Ursache bleibt unklar, genannt werden jedoch Vertrauensprobleme der .online-TLD oder ein möglicher Fehlalarm

Fazit und weitere Entwicklung

  • Später wurde die Website aus der Safe-Search-Blacklist von Google entfernt, und auch Radix hob den serverHold auf, sodass die Website wiederhergestellt wurde
  • Der Autor erklärt, dass „.com weiterhin der Goldstandard ist“ und er nie wieder eine andere TLD kaufen werde
  • Der Fall wird als Warnung präsentiert, welche Risiken bei der Nutzung günstiger oder kostenloser TLDs entstehen können

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-26
Hacker-News-Kommentare

  • Die endlosen Schleifen zur Kontobestätigung bei Großunternehmen sind wirklich ein schmerzhaftes Problem
    Es ist absurd, dass man bei einer E-Mail mit „Bitte bestätigen Sie Ihr Konto“ nicht einmal auf „Das bin nicht ich“ klicken kann
    Ich weiß nicht, ob die Leute, die solche Systeme entwerfen, ihren Job nicht verstehen, oder ob ihre Ziele völlig an denen der Verbraucher vorbeigehen

    • Bei uns in der Firma gab es etwas Ähnliches. Die Person, die das Apple-Entwicklerkonto verwaltet hat, ist plötzlich gegangen, und seitdem geht das Hin und Her per E-Mail mit dem Apple-Support schon seit Monaten weiter
      Sie verlangen Unterlagen, schicken dann aber keinen sicheren Link, dann wartet man wieder eine Woche, dann fordern sie alles erneut an, weil in den Dokumenten ein Satz fehlt …
      Weil sie eine Visitenkarte wollten, musste ich nach 20 Jahren wieder eine machen lassen. So langsam ist das ein Prozess, durch den Betrüger eher durchkämen
    • Ich hatte bei Google auch so eine Schleife. Gmail verlangte 2FA, aber ich hatte keine Telefonnummer und nutzte deshalb eine Wiederherstellungs-E-Mail → diese Wiederherstellungs-E-Mail verlangte ebenfalls 2FA → und die Wiederherstellungs-E-Mail der Wiederherstellungs-E-Mail war eine längst verschwundene sbcglobal.net-Adresse
      Am Ende war das Problem, dass Google die Wiederherstellungs-E-Mail fälschlich als 2FA-Methode verwendet hatte, und zur Lösung musste ich AT&T kontaktieren. Ich musste darum bitten, Kundendaten von vor 20 Jahren zu aktualisieren
    • Selbst wenn es einen „Das bin nicht ich“-Button gibt, ändert sich in der Praxis fast nichts
      Meistens kann die andere Person die E-Mail-Bestätigung nicht abschließen und dann gar nichts mehr tun, und die Website verschickt auch keine weiteren Mails
      Das Problem ist, dass ich in diesem Zustand kein neues Konto mit derselben E-Mail anlegen kann. Über das Verfahren „Passwort zurücksetzen“ kann man das Konto am Ende aber doch übernehmen
    • Jemand fügt meine Gmail-Adresse immer wieder als Backup-E-Mail zu seinem Konto hinzu
      Ich entferne das jedes Mal, wenn eine Gmail-Benachrichtigung kommt, aber ich frage mich, ob die Gefahr einer Kontoübernahme besteht, falls ich das einmal laufen lasse
    • Früher hat einmal jemand meine E-Mail mit einem Santander-UK-Bankkonto verknüpft
      Ich wollte Kontakt aufnehmen, aber es gab nur internationale Anrufe oder Briefe auf Papier als Möglichkeit, also habe ich aufgegeben und die Mails einfach separat einsortiert

  • Es ist schockierend, dass ein Domain-Registrar auf Grundlage von Google Safe Browsing eine Domain sperrt
    So wird die gesamte betreffende TLD praktisch unzuverlässig

    • Bei TLDs wie .online kostet die Registrierung 1 Dollar, die Verlängerung springt dann aber auf 30–35 Dollar
      Solche Preismodelle sind ein Signal, das ernsthafte TLDs von TLDs für kurzfristigen Betrug unterscheidet
    • Das Problem ist die Registry. Ich behandle das auch auf meiner Erklärseite zu Domain-Risiken auf tldrisk.com
      Wegen fehlender Aufsicht durch ICANN können Registries ihre Richtlinien nach Belieben ändern, und am Ende vertrauen die Leute nur noch TLDs mit langer Geschichte wie .com oder .org
      Persönlich halte ich nur .com und .ca für vertrauenswürdig
    • Die Schlussfolgerung ist, dass man Domains meiden sollte, die von Radix verwaltet werden
    • Safe Browsing arbeitet auf Website-Ebene, aber Radix nutzt das als Begründung, um das gesamte Konto zu sperren
      Es ergibt keinen Sinn, ein ganzes Konto einzufrieren, wenn man auch nur die Subdomain blockieren könnte
    • Vielleicht ist das Geschäftsmodell von Radix von vornherein gar nicht auf ernsthafte Nutzung ausgelegt

  • Eigentümer der TLD in diesem Fall war Radix
    Das Unternehmen betreibt .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website und weitere
    radix.website

    • Solche TLDs werden häufig mit Betrugsseiten in Verbindung gebracht
      Vielleicht wäre es besser, die jeweilige TLD gleich komplett zu blockieren
    • Ich nutze selbst seit Jahren eine .tech-Domain für private E-Mails, wusste aber nicht, dass sie zu so einer Registry gehört
    • Ich hatte in meinem Heim-DNS 66 TLDs und alle IDN-ccTLDs blockiert, aber diese war nicht dabei
      Inzwischen nutze ich den hagezi-rpz-Threat-Intel-Feed, um die meisten merkwürdigen Domains zu blockieren

  • Dass eine Domain „wegen der Google-Safe-Browsing-Blacklist gesperrt wurde“, ist genau die schiefe Ebene der Zensur, vor der ich seit 10 Jahren warne
    Es war ein großer Fehler, die Site nicht in der Google Search Console einzutragen. Dadurch ist Googles monopolartiger Einfluss noch größer geworden

    • Das ist nicht Googles Verantwortung, sondern die von Radix
      Es ist völlig in Ordnung, wenn Google und Microsoft Listen schädlicher Websites pflegen, aber es ist problematisch, Domains auf dieser Basis als absoluten Maßstab zu sperren
      Google hat sich diese Macht nicht genommen, Radix hat sie freiwillig abgegeben
    • Google kann eine Meinung haben, aber das sollte von Sperrmaßnahmen eines Registrars getrennt sein
    • Das ist eindeutig die Schuld von Radix
    • Das ist, als würde man ein Unternehmen auflösen, weil seine BBB-Bewertung niedrig ist. Vollkommen widersinnig
    • Ich verstehe nicht, warum man Domains auf Grundlage der Blacklist eines Dritten sperrt
      Umgekehrt kommt es oft genug vor, dass gemeldete Betrugsseiten eben nicht entfernt werden

  • Wenn so etwas passiert, nur weil eine Site nicht in der Google Search Console registriert war, sollte das zu kartellrechtlichen Untersuchungen führen
    Google wäre dann faktisch zum Gatekeeper für die bloße Existenz im Internet geworden

  • Es sieht so aus, als hätte Radix eine negative Rückkopplungsschleife erzeugt
    Aus Sicht von Google könnte das Verschwinden des DNS nach einem Safe-Browsing-Treffer fälschlich als „Betrugsverhalten“ gewertet werden

  • Das Problem an .online ist nicht, dass es „seltsam“ wäre, sondern dass es kostenlos war
    Kostenlose TLDs ziehen Spammer und Betrüger an und werden dadurch letztlich als Betrugssignal wahrgenommen
    Natürlich gibt es auch außerhalb von .com viele brauchbare Domains

    • .online, .top, .xyz, .info, .shop gehören zu den häufigsten TLDs für Betrugsseiten
      Sie sind so billig, dass sie gern für kurzfristiges Phishing genutzt werden. Wenn man eine neue Domain anlegt, sollte man solche TLDs meiden
    • Vermutlich wurde die Domain des OP in der Vergangenheit missbraucht oder wegen des Stigmas billiger TLDs automatisch als Hochrisikofall eingestuft
      Kostenlos ist schön, aber manchmal bringt es fatale Risiken mit sich

  • Meiner Erfahrung nach werden Vanity-Domains von Unternehmens-Sicherheitssystemen oft blockiert
    Die .homes-Domain eines Freundes war sechs Monate lang bei Quad9 und in Unternehmensnetzwerken gesperrt
    Als ich selbst einmal eine neue TLD gekauft hatte, wurde der Zugriff einen Monat lang durch „Safe Browsing“-Funktionen einiger ISPs blockiert
    Am Ende habe ich gelernt, dass neue Domains standardmäßig nicht als vertrauenswürdig gelten

    • Das gilt auch für ungewöhnliche Länder-TLDs. Meine .vg-Domain hat SPF, DKIM und DMARC vollständig eingerichtet und landet trotzdem oft im Spam-Ordner
    • Fortinet blockiert neue Domains standardmäßig. Deshalb kann ich mir heutige neue Projektseiten oft gar nicht ansehen
    • Solche Richtlinien haben tatsächlich einen Sicherheitsnutzen
      Die meisten Betrugslinks, die meine Großmutter bekam, nutzten .top-Domains. Nachdem ich im DNS alle Sites blockiert hatte, die innerhalb der letzten 90 Tage registriert worden waren, verschwanden Betrugsklicks vollständig
      Deshalb schließe ich beim Domainkauf inzwischen alle 1-Dollar-TLDs aus
    • Im Kern beruht Websicherheit immer noch auf einer Struktur, in der dem Domainnamen vertraut wird
      Weil die TLD am Ende steht, wird sie von Menschen leicht übersehen

  • E-Mails von Domains wie .online landen mit deutlich höherer Wahrscheinlichkeit im Spam-Ordner
    Ein Blick auf Spamhaus-Statistiken zum Malware-Anteil nach TLD macht das klar

  • Früher hat Google einmal ohne jede Begründung mein komplettes Android-App-Konto gesperrt
    Es war nur eine simple Fitness-App, aber ich erfuhr nie warum und konnte nichts wiederherstellen. Danach habe ich die Android-Entwicklung komplett aufgegeben

    • Auch das Unternehmen eines Verwandten hat seit Jahren eingefrorene Google-Bewertungen. Selbst auf Einsprüche kommt keine Antwort
      Am Ende hängen kleine Unternehmen von der Laune des Silicon Valley ab
    • Google scheint in Zukunft auch bei der Verteilung von Android-Apps nur noch die eigene Plattform zulassen zu wollen
    • Ich habe etwas Ähnliches erlebt. Eines Tages wurde plötzlich mein Google-Konto gesperrt, und damit war mein ganzes digitales Leben blockiert
      Seitdem lebe ich komplett UnGoogled