อย่าซื้อโดเมน .online เด็ดขาด

 (0xsid.com)
7 คะแนน โดย GN⁺ 2026-02-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • นักพัฒนาที่ดำเนินงานโดยยึด .com เป็นหลัก ได้ลองใช้โดเมน .online ผ่านโปรโมชันแจกฟรี ก่อนจะเจอ การบล็อกเว็บไซต์และการระงับโดเมน
  • โดเมน .online ที่ได้รับฟรีจาก Namecheap ถูกขึ้นเตือนจาก Google Safe Browsing ว่าเป็น ‘เว็บไซต์อันตราย’ จนกลายเป็นสถานะที่เข้าใช้งานไม่ได้
  • จากการตรวจสอบ WHOIS พบว่าสถานะเป็น serverHold ยืนยันว่ารีจิสทรี (Radix) เป็นผู้ระงับโดเมน
  • ขั้นตอนยืนยันตัวตนของ Google และเงื่อนไขการปลดล็อกของรีจิสทรีดันพัวพันกัน จนเกิดเป็น ‘ภาวะกลืนไม่เข้าคายไม่ออกของการยืนยัน’ ที่ทำให้กู้โดเมนคืนไม่ได้
  • โดเมน .com ยังคงเป็นโกลด์สแตนดาร์ด และการใช้ TLD ที่ไม่ใช่มาตรฐานมีความเสี่ยง

โปรโมชัน .online ฟรีจาก Namecheap

  • Namecheap จัด โปรโมชันแจกโดเมน .online หรือ .site ฟรี
    • ผู้เขียนเลือกโดเมน .online สำหรับโปรเจ็กต์แอปขนาดเล็ก
    • จ่ายเพียงค่าธรรมเนียม ICANN 0.20 ดอลลาร์ แล้วเชื่อมต่อกับ Cloudflare และ GitHub Pages เพื่อเปิดเว็บไซต์
  • ช่วงแรกใช้งานได้ตามปกติ แต่หลังจากนั้นก็มี คำเตือน ‘เว็บไซต์อันตราย’ จาก Google และเบราว์เซอร์ ทำให้การเข้าถึงถูกบล็อก

เว็บไซต์ถูกบล็อกและโดเมนถูกระงับ

  • ทั้ง Firefox และ Chrome ต่างแสดง หน้าเตือนแบบเต็มหน้าจอ ทำให้ผู้เยี่ยมชมเข้าเว็บไซต์ไม่ได้
    • ภายในเว็บไซต์มีเพียงลิงก์ App Store, ภาพหน้าจอ และคำอธิบายสั้น ๆ เท่านั้น
  • ผลการตรวจสอบ WHOIS แสดงสถานะโดเมนเป็น serverHold ยืนยันว่า รีจิสทรี (Radix) เป็นผู้ระงับโดยตรง
  • เมื่อรันคำสั่ง dig NS ข้อมูลเนมเซิร์ฟเวอร์กลับว่างเปล่า ขณะที่การตั้งค่า Cloudflare ยังปกติ

ความพยายามกู้คืนและภาวะกลืนไม่เข้าคายไม่ออกของการยืนยัน

  • ผู้เขียนติดต่อทั้ง Namecheap และ Radix แต่ก็ได้รับคำตอบว่า จะกู้คืนไม่ได้หากยังไม่ถูกถอดออกจากแบล็กลิสต์ Google Safe Browsing
  • ใน Google Search Console ต้องพิสูจน์ความเป็นเจ้าของโดเมนก่อนจึงจะส่งคำขอให้ตรวจสอบได้ แต่
    • เนื่องจากโดเมนถูกระงับจึง ไม่สามารถเพิ่มระเบียน DNS ได้ ทำให้การยืนยันล้มเหลวตั้งแต่ต้น
  • Google ส่งกลับมาเพียงข้อความว่า “ไม่ได้ส่งหน้าที่ถูกต้อง”
  • ผู้เขียนพยายามแจ้งว่าเป็นการตรวจจับผิดพลาดผ่านหลายช่องทาง เช่น Safe Browsing, Safe Search และการรายงานฟิชชิง แต่ก็ไม่ได้ผล

สาเหตุของปัญหาและบทเรียนที่ได้

  • ผู้เขียนชี้ให้เห็นถึง ความผิดพลาด 3 ข้อ
    • ใช้ TLD ที่ไม่ใช่มาตรฐาน (.online)
    • ไม่ได้ลงทะเบียนกับ Google Search Console
    • ไม่ได้ตั้งค่ามอนิเตอร์สถานะการทำงาน
  • ทั้ง Radix และ Google ถูกวิจารณ์เรื่อง ความไม่โปร่งใสของการบล็อกอัตโนมัติและขั้นตอนการกู้คืน
  • แม้สาเหตุที่แน่ชัดยังไม่ชัดเจน แต่ก็มีการกล่าวถึง ปัญหาด้านความน่าเชื่อถือของ TLD .online หรือความเป็นไปได้ของการตรวจจับผิดพลาด

บทสรุปและการดำเนินการหลังจากนั้น

  • ต่อมาเว็บไซต์ถูกนำออกจากแบล็กลิสต์ Safe Search ของ Google และ serverHold ของ Radix ก็ถูกยกเลิก ทำให้ เว็บไซต์กลับมาใช้งานได้อีกครั้ง
  • ผู้เขียนระบุว่า “.com ยังเป็นโกลด์สแตนดาร์ดอยู่เสมอ และจะไม่ซื้อ TLD อื่นอีกแล้ว
  • กรณีนี้ถูกยกมาเป็นคำเตือนถึง ความเสี่ยงที่อาจเกิดขึ้นเมื่อใช้ TLD ราคาถูกหรือแจกฟรี

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-26
ความเห็นจาก Hacker News

  • ลูปการยืนยันบัญชีแบบไม่รู้จบของบริษัทใหญ่ ๆ เป็นปัญหาที่ทรมานมาก
    ตอนที่ได้รับอีเมลบอกว่า “กรุณายืนยันบัญชีของคุณ” กลับน่าตกใจที่ไม่มีตัวเลือกให้กดว่า “นี่ไม่ใช่ฉัน” ด้วยซ้ำ
    ไม่รู้ว่าคนที่ออกแบบระบบแบบนี้ไม่เข้าใจงานของตัวเอง หรือว่าเป้าหมายของพวกเขาสวนทางกับผู้บริโภคโดยสิ้นเชิงกันแน่

    • บริษัทของฉันก็เคยเจอเรื่องคล้ายกัน คนที่ดูแลบัญชีนักพัฒนา Apple ลาออกไปกะทันหัน แล้วหลังจากนั้นก็ต้องโต้ตอบอีเมลกับทีมซัพพอร์ตของ Appleมาหลายเดือน
      ขอเอกสารแล้วไม่ส่งลิงก์ความปลอดภัยมาให้ จากนั้นก็ต้องรออีกหนึ่งสัปดาห์ แล้วก็มาขอใหม่เพราะในเอกสารขาดไปหนึ่งประโยค…
      ถึงขั้นขอนามบัตร จนฉันต้องทำใหม่เป็นครั้งแรกในรอบ 20 ปี กระบวนการแบบนี้นักต้มตุ๋นน่าจะผ่านได้เร็วกว่าด้วยซ้ำ
    • ฉันก็เคยติดลูปแบบนี้กับ Google เหมือนกัน Gmail ขอ 2FA แต่ไม่มีเบอร์โทร เลยใช้ recovery email → แต่ recovery email นั้นก็ขอ 2FA อีก → ส่วนอีเมลกู้คืนของตัวนั้นก็เป็นที่อยู่ sbcglobal.net ที่หายไปแล้ว
      สุดท้ายปัญหาคือ Google ใช้ recovery email เป็นวิธี 2FA ผิดวัตถุประสงค์ และถ้าจะให้แก้ได้ก็ต้องติดต่อ AT&T เท่านั้น กลายเป็นสถานการณ์ที่ต้องไปขอให้อัปเดตข้อมูลลูกค้าเมื่อ 20 ปีก่อน
    • ต่อให้มีปุ่ม “นี่ไม่ใช่ฉัน” ส่วนใหญ่ก็แทบไม่มีอะไรเปลี่ยน
      ในหลายกรณี อีกฝ่ายยืนยันอีเมลไม่สำเร็จ เลยทำอะไรต่อไม่ได้ และเว็บไซต์ก็ไม่ส่งเมลเพิ่มอีกแล้ว
      ปัญหาคือในสภาพนั้น ฉันกลับสร้างบัญชีใหม่ด้วยอีเมลเดิมไม่ได้ แต่สุดท้ายก็ยังยึดบัญชีนั้นมาได้ผ่านขั้นตอน “รีเซ็ตรหัสผ่าน”
    • มีคนพยายามเพิ่มที่อยู่ Gmail ของฉันเป็นอีเมลสำรองของบัญชีตัวเองอยู่เรื่อย ๆ
      ทุกครั้งที่ Gmail ส่งแจ้งเตือนมาก็ลบทิ้ง แต่ก็ยังกังวลว่าถ้าปล่อยไว้แบบนี้ จะมีความเสี่ยงโดนยึดบัญชีไหม
    • เมื่อก่อนเคยมีคนเอาอีเมลของฉันไปผูกกับบัญชีธนาคาร Santander UK
      ฉันพยายามจะติดต่อแล้ว แต่มีแค่วิธีโทรต่างประเทศหรือส่งจดหมายกระดาษ เลยยอมแพ้ แล้วก็แค่แยกเมลพวกนั้นออกไปไว้ต่างหาก

  • น่าตกใจที่ผู้รับจดทะเบียนโดเมนสั่งระงับโดเมนโดยอ้างอิง Google Safe Browsing
    ถ้าเป็นแบบนี้ TLD นั้นทั้งชุดก็จะกลายเป็นสิ่งที่เชื่อถือไม่ได้

    • TLD อย่าง .online โครงสร้างราคาคือจดได้ 1 ดอลลาร์ แต่พอต่ออายุกระโดดไป 30~35 ดอลลาร์
      นโยบายราคาแบบนี้กลายเป็นสัญญาณที่แยก TLD สำหรับใช้งานจริงจัง กับ TLD สำหรับโกงระยะสั้น ออกจากกัน
    • ปัญหาอยู่ที่registryต่างหาก เรื่องนี้ฉันก็พูดไว้ใน หน้าคำอธิบายความเสี่ยงโดเมนของ tldrisk.com ที่ฉันทำไว้
      เพราะ ICANN ไม่ค่อยกำกับดูแล ทำให้ registry เปลี่ยนนโยบายกันตามใจ สุดท้ายคนก็ยิ่งเชื่อถือเฉพาะ TLD ที่มีประวัติยาวนาน อย่าง .com, .org
      ส่วนตัวฉันคิดว่าน่าเชื่อถือจริง ๆ ก็มีแค่ .com กับ .ca
    • สรุปคือควรหลีกเลี่ยงโดเมนที่ Radix ดูแล
    • Safe Browsing ทำงานในระดับเว็บไซต์ แต่ Radix กลับใช้สิ่งนั้นเป็นเหตุผลในการระงับทั้งบัญชี
      ทั้งที่แค่บล็อกซับโดเมนก็พอแล้ว จะมาฟรีซทั้งบัญชีมันไร้เหตุผล
    • หรือบางทีโมเดลธุรกิจของ Radix เองอาจไม่ได้มุ่งไปที่ “การใช้งานจริงจัง” ตั้งแต่แรก

  • เจ้าของ TLD ในเหตุการณ์นี้คือ Radix
    ดูแล .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website เป็นต้น
    radix.website

    • TLD พวกนี้มักเกี่ยวข้องกับเว็บหลอกลวงอยู่บ่อยครั้ง
      บางทีบล็อกทั้ง TLD ไปเลยอาจจะดีกว่า
    • ฉันเองก็ใช้โดเมน .tech เป็นอีเมลส่วนตัวมาหลายปี แต่ไม่เคยรู้เลยว่ามันอยู่ใน registry นี้
    • ที่บ้านฉันบล็อกไว้ 66 TLD และบล็อกทุก IDN ccTLD ใน DNS ภายในบ้าน แต่อันนี้หลุดไป
      ตอนนี้เลยใช้ hagezi rpz threat intel feed เพื่อบล็อกโดเมนแปลก ๆ ส่วนใหญ่แทน

  • เรื่องที่ว่า “โดเมนถูกระงับเพราะติด blacklist ของ Google Safe Browsing” นี่คือทางลาดลื่นของการเซ็นเซอร์ที่ฉันเตือนมาตั้งแต่ 10 ปีก่อน
    การที่ไม่ได้ลงทะเบียนใน Google Search Console เป็นความผิดพลาดใหญ่ และสุดท้ายก็ยิ่งทำให้อิทธิพลผูกขาดของ Googleแข็งแรงขึ้น

    • นี่ไม่ใช่ความผิดของ Google แต่เป็นความผิดของ Radix
      Google กับ Microsoft จะเก็บรายการเว็บอันตรายไว้ก็ไม่เป็นไร แต่การเอาสิ่งนั้นมาเป็นเกณฑ์สัมบูรณ์ในการระงับโดเมนต่างหากที่เป็นปัญหา
      ไม่ใช่ Google ที่ยึดอำนาจ แต่เป็น Radix ที่ยกมันให้โดยสมัครใจ
    • Google จะมีความเห็นของตัวเองก็ได้ แต่ต้องแยกออกจากมาตรการระงับของ registrar
    • เรื่องนี้ผิดที่ Radix ชัดเจน
    • มันเหมือนกับสั่งยุบบริษัทเพียงเพราะคะแนน BBB ต่ำ เป็นอะไรที่ไร้สามัญสำนึกมาก
    • ไม่เข้าใจเลยว่าทำไมถึงระงับโดเมนโดยอ้าง blacklist ของบุคคลที่สาม
      ในทางกลับกัน ต่อให้รายงานเว็บหลอกลวงไปแล้ว หลายครั้งก็ยังไม่ถูกลบด้วยซ้ำ

  • ถ้าเรื่องแบบนี้เกิดขึ้นได้เพียงเพราะไม่ได้ลงทะเบียนใน Google Search Console ก็ควรนำไปสู่การสอบสวนด้านการผูกขาด
    เท่ากับว่า Google กลายเป็นผู้เฝ้าประตูของการมีตัวตนบนอินเทอร์เน็ตไปแล้ว

  • ดูเหมือน Radix จะสร้างวงจรป้อนกลับเชิงลบขึ้นมา
    จากมุมของ Google ถ้าเห็นว่า Safe Browsing จับได้แล้ว DNS หายไป ก็อาจตีความผิดว่าเป็น “พฤติกรรมหลอกลวง” ได้

  • ปัญหาไม่ใช่ว่า .online “แปลก” แต่คือมันเคยแจกฟรี
    TLD ฟรีจะดึงดูดสแปมเมอร์กับนักต้มตุ๋น สุดท้ายเลยถูกมองเป็นสัญญาณของการหลอกลวง
    แน่นอนว่านอกจาก .com ก็ยังมีโดเมนดี ๆ อีกมาก

    • .online, .top, .xyz, .info, .shop เป็น TLD อันดับต้น ๆ ของเว็บหลอกลวง
      เพราะมันถูกมากจนเหมาะกับฟิชชิงระยะสั้น เวลาสร้างโดเมนใหม่ก็ควรหลีกเลี่ยง TLD พวกนี้
    • เป็นไปได้ว่าโดเมนของ OP เคยถูกนำไปใช้ในทางที่ผิดมาก่อน หรือถูกจัดเข้ากลุ่มเสี่ยงสูงอัตโนมัติเพราะตราบาปของ TLD ราคาถูก
      ของฟรีก็ดีอยู่หรอก แต่บางครั้งก็มาพร้อมกับความเสี่ยงถึงขั้นร้ายแรง

  • จากประสบการณ์ของฉัน vanity domain มักโดนระบบความปลอดภัยขององค์กรบล็อกอยู่บ่อย ๆ
    โดเมน .homes ของเพื่อนฉันโดนบล็อกใน quad9 และเครือข่ายความปลอดภัยของบริษัทอยู่นาน 6 เดือน
    ตอนฉันซื้อ TLD ใหม่เองก็เคยโดนฟีเจอร์ “safe browsing” ของ ISP บางเจ้า บล็อกการเข้าถึงอยู่เป็นเดือน
    สุดท้ายบทเรียนคือ โดเมนใหม่โดยพื้นฐานแล้วไม่ได้รับความเชื่อถือ

    • TLD ประเทศที่ไม่ค่อยพบก็เหมือนกัน โดเมน .vg ของฉันตั้งค่า SPF, DKIM, DMARC ครบแล้ว แต่ก็ยังตกสแปมบ่อย
    • Fortinet บล็อกโดเมนใหม่เป็นค่าเริ่มต้น เพราะงั้นทุกวันนี้จึงแทบเช็กเว็บโปรเจ็กต์ใหม่ไม่ได้เลย
    • นโยบายแบบนี้ก็มีผลด้านความปลอดภัยจริง
      ลิงก์หลอกลวงที่คุณยายของฉันได้รับ ส่วนใหญ่เป็นโดเมน .top พอบล็อกทุกเว็บไซต์ที่จดทะเบียนภายใน 90 วันใน DNS การคลิกลิงก์หลอกลวงก็หายไปหมด
      เพราะงั้นเวลาฉันซื้อโดเมน ก็จะตัด TLD ราคา 1 ดอลลาร์ทิ้งทั้งหมด
    • สุดท้ายแล้วหัวใจของความปลอดภัยบนเว็บก็ยังเป็นโครงสร้างที่เชื่อถือชื่อโดเมนอยู่ดี
      และเพราะ TLD อยู่ท้ายสุด คนเลยมักมองข้ามมันง่าย

  • อีเมลที่ส่งมาจากโดเมนอย่าง .online มีโอกาสสูงกว่ามากที่จะลงกล่องสแปม
    ดูจาก สถิติอัตราความเป็นอันตรายแยกตาม TLD ของ Spamhaus ก็ชัดเจน

  • เมื่อก่อน Google เคยระงับทั้งบัญชีแอป Androidของฉันโดยไม่อธิบายเหตุผลเลย
    มันเป็นแค่แอปฟิตเนสธรรมดา แต่ไม่รู้เหตุผลและกู้คืนก็ไม่ได้ ตั้งแต่นั้นมาก็เลิกพัฒนา Android ไปเลย

    • ธุรกิจของญาติฉันก็โดน Google รีวิว แช่แข็ง มาหลายปีแล้ว ต่อให้อุทธรณ์ก็ไม่มีคำตอบกลับมาเลย
      สุดท้ายก็กลายเป็นว่าธุรกิจขนาดเล็กขึ้นอยู่กับอารมณ์ของซิลิคอนวัลเลย์
    • ดูเหมือนว่าในอนาคต Google จะพยายามให้การแจกจ่ายแอป Android ใช้ได้เฉพาะแพลตฟอร์มของตัวเองเท่านั้น
    • ฉันก็เคยเจอคล้ายกัน อยู่ ๆ บัญชี Google ก็ถูกปิดกั้นจนชีวิตดิจิทัลทั้งหมดถูกล็อก
      หลังจากนั้นก็ เลิกพึ่ง Google (UnGoogled) ไปเลย