ハクソク

世界を動かす技術を、日本語で。

「.online」ドメインを絶対に購入しないでください

89日前原文(0xsid.com)

概要

  • .com以外のTLD を初めて使った体験談
  • .onlineドメイン 利用中に発生したトラブル
  • GoogleのSafe Searchブラックリスト 入りと復旧の経緯
  • RadixレジストリとNamecheapサポート とのやり取り
  • 今後の 教訓と反省点 についてまとめ

.onlineドメインで炎上した話

  • 20年以上.com派 だったが、Namecheapの 無料プロモーション で初めて.onlineドメインを取得
  • ICANN手数料$0.20 のみ支払い、CloudflareとGitHubで簡単にセットアップ
  • 小規模プロダクト用の シンプルなランディングページ として運用開始

サイト消失の発覚

  • 数週間後、 トラフィックが0 になっていることに気付き調査開始
  • FirefoxやChromeで「危険なサイト」警告 が表示されアクセス不能
  • サイト内容は App Storeリンクとスクリーンショットのみ で、不審な要素なし
  • 警告を無視して進んでも 「site not found」エラー

原因調査

  • Cloudflare設定やネームサーバー は正常
  • digコマンドでNSレコード確認→空
  • WHOIS情報で「serverHold」ステータス を発見
  • Namecheapサポートに連絡 し、Radix(レジストリ)にも問い合わせ

「Verification Catch-22」の罠

  • GoogleのSafe Browsingブラックリスト からの解除が必要
  • 解除には Google Search Consoleでの所有権確認 が必須
  • DNSレコード追加で認証 が必要だが、ドメインが解決しないため不可能
  • レジストリはGoogleの解除待ち、Googleは所有権確認待ち という無限ループ
  • 複数の 誤検知報告や再審査依頼 も効果なし

一連の失敗と反省点

  • .com以外のTLD利用 は二度としない決意
  • Google Search Consoleへの即時登録 を怠った失敗
  • 稼働監視(Uptime Monitoring) を設けなかった点
  • RadixやGoogleの即時BANと通知なし の厳しさ
  • $0.20の損失 と「安物買いの銭失い」

復旧とその後

  • HN投稿後40分でSafe Searchブラックリスト解除
  • RadixへserverHold解除依頼 も実施
  • 最終的にサイト復旧、ただしマーケティング目的と誤解されないようリンク非掲載
  • 教訓 として「.com以外のTLDはリスクが高い」と再認識

用語・補足

  • serverHold :レジストリ(Radix)が設定、重大な問題でドメイン停止状態
  • clientHold :レジストラ(Namecheap)が設定、主に支払い関連で停止
  • Safe BrowsingとSafe Search :Googleの異なるセキュリティ機能
  • getwisp.online :今回の対象ドメイン

今後の対策

  • 主要TLD(特に.com)利用の徹底
  • Google Search Consoleへの早期登録
  • 稼働監視システムの導入
  • レジストリ・レジストラからの通知確認の徹底
  • 安価なTLDやプロモーション利用時のリスク認識

Hackerたちの意見

一つの結論はこうだね:> ドメインをすぐにGoogle Search Consoleに追加しないこと。よくわからないんだけど、Google Search Consoleって何?今すぐ全てのドメインをそこに追加すべきなの?

そこにサイトを追加することで、Googleでのクリック数やインプレッション数、どのキーワードでランクインしてるかなどのデータが得られるよ。GoogleにサイトをGSCにインデックスさせるリクエストもできるし、ウェブサイトをGSCに追加した方がいいと思う。

https://search.google.com/search-console/about. うん、ここに書かれているようなケースで選択肢を提供してくれるよ。以前はウェブマスターツールって呼ばれてた。

追加すべきかどうかはわからないけど…もし追加するなら、Googleからそのウェブサイトやドメインについての通知が来るよ。私は「サイトやページで4xx/5xxエラーが増えてる」っていうメールしか見たことないけど。

もしすでにコンソールに登録されている状態でブラックリストに載ったら、ドメインの所有権を「確認」する必要なしにアピールできるよ。この場合、DNSをもう管理してないからね。コンソールに追加したときにそのプロセスは終わってるから。

わからない。Google Search Consoleって何?今すぐ全てのドメインをそこに追加すべき?Googleは、実際の人の身元をドメインに結びつける方法だけど、それを明示的にはしないんだ。要するに、そこにドメインを追加しないと、Googleを含むいろんな団体から変な扱いを受けることになるよ。特に.onlineみたいなあまり一般的でないTLDだと、何らかの身元に結びつけたいと思ってるから、そこに追加しないと最終的にはブラックリストに載っちゃう。著者の場合は「Google Safe Browsing」のブラックリストを使って、Googleを巻き込む形になったみたい。

正式なレビューをリクエストするには、Search Consoleで確認済みの所有者である必要があるよ。

https://search.google.com/search-console そうだね、もしGoogleがいつかあなたを完全に排除することを決めたときのために、所有権を事前に登録しておくべきだと思うよ。

この場合のTLDの所有者はRadixで、.store、.online、.tech、.site、.fun、.pw、.host、.press、.space、.uno、.websiteを所有してるよ。 https://radix.website/

彼らはほとんどいつも詐欺サイトと関連してるみたいだから、TLD全体をブロックして、そのTLDの下でドメインを買わない方がいいかもね。

12年以上前に、Googleが小さなAndroidアプリのせいで僕のアカウントを理由もなく禁止したことを今でも覚えてる。今でも何が原因だったのかわからないけど、完全にグリーンエリアのフィットネストラッカーだったんだ。理由を知る手段もアカウントを解除する方法も全くなかった。これでAndroid開発から永遠に離れちゃったよ。

親戚のビジネスは、Googleのレビューが数年間凍結されてる。検索結果には、数年前に悪いレビューを残した元顧客とその配偶者のせいで悪い評価が表示されてる。アピールはブラックホールに消えた。小さなビジネスを運営するのは、シリコンバレーの気まぐれ次第だね。

ドメイン...はGoogle Safe Browsingでのブラックリスト登録のために一時停止されています。ほら、これがまさに10年前に警告した滑りやすい坂道だよ。間接的な検閲が直接的な検閲になって、こういうリストの道徳性についての議論を全て無効にする。さらに:> ドメインをすぐにGoogle Search Consoleに追加しないこと。彼らの分析は必要ないし、ドメインにコンテンツを載せるつもりもなかったから、なんでわざわざやる必要があるの?大きな、大きな間違いだった。Googleにさらなる独占的な力を与えちゃったね。

それが私もすぐに気になった部分だよ。なんでレジストラが、別の団体がブラックリストに載せたドメインを自分たちで停止するの?Googleって神様なの?逆に、私たちのウェブサイトを明らかにパクって、請求書の転送詐欺に使われているサイトを削除できないのがもどかしい。

Googleが意見を持つのはいいけど、それが理由でレジストラがすぐにドメインを停止するのはおかしいと思う。この二つのメカニズムは切り離すべきだよ。

これがGoogleのせいってどういうこと?明らかにRadixのせいじゃない?

これは100% Radixの責任で、Googleのせいじゃないよ。GoogleやMicrosoftは、悪用されているウェブサイトのリストを持っておくべきだし、持ってると思う。誤検出は避けられないから、あまり真に受けない方がいいけど、ほとんどの場合は正しいよ。彼らのリストは、「伝統的な」アンチウイルスや詐欺対策の業者が、数字を盛るためにちょっとでも変なものをリストアップするよりも、ずっと信頼できる。これらのリストを絶対的な真実として扱って、ドメインを自動的に削除する外部の人たちが問題なんだ。Googleが権力を奪ったわけじゃなくて、Radixが何も言わずにそれを渡したんだよ。

Google Safe Browsingを一時停止の「トリガー」として使うレジストラは、最近見た中で最も恐ろしいことだよ。これじゃ、真剣に使うにはTLD全体が無理になっちゃう。

その後の話としては、Radixが管理しているドメインは使わない方がいいってことかな。

でも、真剣な利用が彼らのビジネスモデルだって言ったのは誰だろう。

うわー、あの大企業による不可能な確認の無限ループは本当にイライラする。これが一番ムカつく。しかも、"アカウントを確認してください"っていうメールが山ほど来て、"それは私じゃない、誰かが私のメールを悪用してる"っていう選択肢が全くない。こういう仕事をしてる人たちは、自分の仕事のやり方が全然わかってないか、もっと悲しいことに、彼らの目標が消費者の僕とは完全にズレてて、"摩擦を取り除く"ことだけが目的なんだろうね。

悪意のある意図を探す必要はないよ。これはお金がかかる機能だから、利益を追求する組織にとっては優先度が非常に低い(またはゼロ)んだ。責任者を見つけて、その人たちに自分たちのサービスのメールをスパムすることで、チームがこれを直すことに気を使うようになるかな?でも、もちろんそれはほとんど疑わしいし、たぶん違法だから、誰かの自警的なハッカーの責任ではないよね。

誰かがずっと俺のGmailアドレスを自分のGmailアカウントのバックアップアドレスに追加してくるんだ。Gmailから通知が来るたびに、俺はそれを削除してる。もし俺がそのメールをバックアップから削除しなかったら、他の人が俺のGmailアカウントを盗む方法があるんじゃないかって思っちゃうよ。

「アカウントを確認してください」っていうのが「ご参加ありがとうございます」よりもずっと好きだな。前者は無視しても確認しないだろうし、後者はなんか違法でもおかしくないのに、なぜかそうじゃない。サインアップリクエストを完全に止めるための「いいえ」ボタンみたいなのがあったらいいのに。

以前、HNでこの警告を出したことがあるよね。https://news.ycombinator.com/item?id=40195410 俺たちは、https://pinggy.io のために.onlineドメインを選んだとき、かなり苦労したんだ。

Radixが知らず知らずのうちにネガティブフィードバックループを作っちゃったのかな。Googleの視点から見ると、DNSレコードはSafe Browsingにフラグを立てられた直後に消えちゃうから、彼らのヒューリスティックはそれを詐欺的な行動と解釈するかもしれないね。

これが中央集権の痛みの一つだね。正直、どんなTLDでも起こり得ることだよ。

でも、これが.onlineだからってこと?俺も一つ持ってるけど、全然問題なかったよ。