Ciclo de vida de um nome de domínio: expiração, proteção e boas práticas

Por CaptainDNS
Publicado em 17 de março de 2026

Diagrama do ciclo de vida de um nome de domínio: registro, expiração, grace period, redemption, pending delete, liberação

TL;DR

Um domínio atravessa 7 fases de vida distintas, do registro à liberação. Cada fase é identificável por seus códigos EPP em uma consulta RDAP.
Após a expiração, você dispõe de 30 a 45 dias (grace period) e depois 30 dias (redemption) para recuperar seu domínio, mas as taxas de restauração chegam a 80 a 200 EUR dependendo do registrar.
O domain hijacking explora cinco vetores principais: engenharia social, e-mail comprometido, falha no registrar, sequestro de DNS e retomada de domínio expirado. Em 2024, mais de 70 000 domínios foram sequestrados via o ataque "Sitting Ducks", que explorava delegações DNS mal configuradas.
Três níveis de bloqueio protegem seu domínio: registrar lock (gratuito), full lock (gratuito) e registry lock (50 a 300 EUR/ano para domínios críticos).

Todos os dias, mais de 150 000 nomes de domínio expiram no mundo. A maioria são domínios abandonados voluntariamente. Mas uma fração significativa diz respeito a domínios ativos cujo titular simplesmente esqueceu de renovar, deixou um meio de pagamento expirar ou ignorou as notificações do registrar. As consequências são imediatas: site inacessível, e-mails perdidos, serviços de terceiros em pane. Em 2024, a taxa de renovação dos .com e .net era de 73,9%, o que significa que mais de um domínio em cada quatro não foi renovado.

Este guia cobre o ciclo de vida completo de um nome de domínio, os riscos concretos em cada etapa e as proteções a implementar. Se você gerencia domínios para uma empresa, uma marca ou um projeto pessoal, esses mecanismos são essenciais de entender. Use o RDAP Lookup para verificar em tempo real os status EPP e as datas de expiração dos seus domínios.

Para entender o protocolo RDAP e os códigos EPP em detalhe, consulte nosso guia RDAP vs WHOIS na seção "Guias relacionados" no final do artigo.

Teste seus domínios agora

Verificar com RDAP Lookup Auditar seu domínio

As 7 etapas do ciclo de vida de um domínio

Um nome de domínio segue um ciclo de vida padronizado, definido pelas políticas da ICANN para os gTLDs (.com, .net, .org) e por cada registro nacional para os ccTLDs (.fr, .de, .uk). Aqui estão as sete etapas, com os códigos EPP que você observará nos resultados RDAP em cada fase.

1. Registro (Available para Registered)

O domínio está disponível na base do registro. Um titular o registra via um registrar credenciado por um período de 1 a 10 anos. O registro é efetivado em poucos minutos.

Código EPP: addPeriod (durante os 5 primeiros dias, o domínio pode ser excluído com reembolso completo via o Add Grace Period definido pela ICANN), depois ok ou clientTransferProhibited se o registrar ativar automaticamente o transfer lock.

Custo típico: 10 a 15 EUR/ano para um .com, variável conforme o TLD e o registrar.

Detalhe importante: a ICANN prevê um bloqueio de transferência obrigatório de 30 dias (720 horas) em domínios recém-criados. Essa regra, oriunda da Transfer Policy revisada em 2024, substitui o antigo bloqueio de 60 dias e será aplicada por todos os registrars até 2026.

2. Período ativo (Registered)

O domínio está operacional. O titular pode configurar os servidores de nomes, os registros DNS, os redirecionamentos de e-mail e os serviços associados. Esta fase dura o tempo do registro (1 a 10 anos, renovável).

Códigos EPP típicos: ok (nenhuma restrição), ou uma combinação de locks de proteção como clientTransferProhibited, clientDeleteProhibited, clientUpdateProhibited.

Ação recomendada: ativar a renovação automática e os bloqueios de transferência desde o registro.

3. Expiração (Expired)

A data de expiração foi ultrapassada e o domínio não foi renovado. O registrar pode suspender imediatamente a resolução DNS (status clientHold) ou conceder um prazo de graça antes da suspensão. O comportamento exato varia conforme o registrar.

Códigos EPP: autoRenewPeriod (se o registrar renovou automaticamente mas aguarda o pagamento) ou clientHold (resolução DNS suspensa).

Impacto imediato: o site, os e-mails e todos os serviços vinculados ao domínio podem parar de funcionar. Na prática, a maioria dos registrars concede um curto prazo (1 a 5 dias) antes de suspender a resolução DNS, mas esse comportamento não é garantido.

4. Grace period (Auto-Renew Grace Period, cerca de 0 a 45 dias)

Após a expiração, o titular dispõe de um prazo para renovar o domínio pela tarifa normal. A duração desse período varia conforme o registrar e o TLD. A ICANN autoriza uma Auto-Renew Grace Period de 0 a 45 dias para os gTLDs, mas cada registrar define sua própria política dentro dessa faixa.

Durações por registrar (gTLDs):

GoDaddy: 18 dias de grace period, depois 19 dias de "parking" (total de 37 dias antes da redemption)
Namecheap: 30 dias
OVHcloud: 30 dias (variável conforme o TLD)
Gandi: 30 dias
Cloudflare: 40 dias (registrar at-cost, sem taxas de atraso)

Código EPP: autoRenewPeriod persiste enquanto o registrar mantém o domínio em espera de pagamento.

Custo: tarifa de renovação padrão. Alguns registrars adicionam taxas de atraso (10 a 30 EUR). A Cloudflare, como registrar at-cost, não cobra nenhum adicional.

5. Redemption period (cerca de 30 dias)

Se o domínio não for renovado durante a grace period, o registrar o exclui de sua base. O registro então coloca o domínio em redemptionPeriod. Durante 30 dias, apenas o titular original pode restaurá-lo, mas a um custo significativamente mais alto.

Código EPP: redemptionPeriod. O domínio não resolve mais, nenhum serviço funciona.

Taxas de restauração por registrar (para um .com):

Registrar	Taxa de restauração	Renovação inclusa?	Total aproximado
GoDaddy	80 USD	Não (adição de 1 ano)	100 USD
Namecheap	110 a 180 USD conforme o TLD	Sim	110 a 180 USD
OVHcloud	70 a 120 EUR conforme o TLD	Variável	80 a 140 EUR
Gandi	90 a 150 EUR conforme o TLD	Variável	100 a 170 EUR
Cloudflare	Custo do registro (cerca de 80 USD para .com)	Não (adição de 1 ano)	90 a 100 USD

Essas taxas incluem os custos que o registro cobra do registrar pelo procedimento de restauração (restore command). O registro Verisign cobra cerca de 80 USD por restore para os .com. Os registrars adicionam uma margem variável. A Cloudflare, como registrar at-cost, repassa o preço do registro sem margem. Essas taxas não são negociáveis.

6. Pending delete (cerca de 5 dias)

Após a redemption period, o registro coloca o domínio em pendingDelete durante 5 dias. Ninguém mais pode recuperá-lo. O domínio está aguardando a exclusão definitiva da base do registro.

Código EPP: pendingDelete. Irreversível.

Nenhuma ação possível: nem o titular, nem o registrar, nem o registro podem impedir a exclusão. É precisamente durante esses 5 dias que os serviços de drop catching posicionam seus sistemas automatizados para tentar registrar o domínio assim que ele for liberado.

7. Liberação (Available)

O domínio é excluído da base do registro e volta a estar disponível para registro. Qualquer pessoa pode registrá-lo pela tarifa padrão.

Risco principal: os domínios expirados com tráfego residual, backlinks ou reputação estabelecida são alvos de serviços de "domain drop catching" que os registram automaticamente nos segundos seguintes à liberação.

Código EPP: nenhum (o domínio não existe mais na base do registro).

Diagrama do ciclo de vida de um nome de domínio: as 7 etapas do registro à liberação com os códigos EPP correspondentes

O que acontece quando um domínio expira?

A expiração de um domínio ativo provoca uma cascata de problemas. Veja o que para de funcionar, em que ordem e por quê.

Impacto no site

Assim que o registrar suspende a resolução DNS (status clientHold), o nome de domínio não aponta mais para nenhum endereço IP. Os visitantes veem um erro de DNS (NXDOMAIN ou SERVFAIL) ou são redirecionados para uma página de parking do registrar.

Se o site usa HTTPS, o certificado TLS ainda é tecnicamente válido, mas não será servido pois o domínio não resolve mais. As renovações automáticas de certificados (Let's Encrypt, por exemplo) falharão pois dependem da resolução DNS para a validação.

Impacto nos e-mails

Os registros MX do domínio não resolvem mais. Todos os e-mails recebidos são rejeitados pelos servidores remetentes com um erro do tipo "host not found". Os e-mails não ficam em fila indefinidamente: após algumas horas a alguns dias de tentativas, os servidores remetentes retornam um bounce definitivo ao remetente.

As consequências são críticas para as empresas:

Perda de comunicações com clientes e fornecedores
Falha nas redefinições de senha em serviços de terceiros vinculados a endereços do domínio
Perda dos fluxos de notificação (alertas de monitoramento, faturas, confirmações)

Impacto nos serviços (API, certificados SSL, etc.)

Além do site e dos e-mails, um domínio expirado quebra todos os serviços que dependem dele:

API e webhooks: os endpoints que usam o domínio ficam inacessíveis. As integrações de terceiros falham em cascata.
Certificados TLS: os certificados não podem mais ser renovados. Os certificados existentes permanecem válidos até sua própria expiração, mas o domínio não resolve mais.
DKIM, SPF, DMARC: os registros de autenticação de e-mail desaparecem. Se o domínio for recuperado, os e-mails enviados durante a pane terão falhado nas verificações de autenticação.
MTA-STS: a política MTA-STS do domínio não está mais acessível, o que desativa a criptografia TLS obrigatória para os e-mails recebidos.
Serviços de terceiros: qualquer serviço configurado com o domínio (OAuth callbacks, verificação de propriedade Google/Bing, CDN) para de funcionar.

Linha do tempo concreta: dia a dia após a expiração

Dia	O que acontece	Código EPP
D+0	Expiração. O registrar renova automaticamente o domínio internamente, mas aguarda o pagamento. O site ainda funciona na maioria dos registrars.	`autoRenewPeriod`
D+1 a D+5	O registrar envia as primeiras notificações de expiração. Alguns suspendem a resolução DNS a partir de D+1, outros mantêm o serviço. A GoDaddy redireciona para uma página de parking a partir de D+1. A Cloudflare mantém o DNS ativo por 40 dias.	`autoRenewPeriod` ou `clientHold`
D+5 a D+30	Grace period. A maioria dos registrars suspendeu o DNS. A renovação ainda é possível pela tarifa normal, às vezes acrescida de taxas de atraso (10 a 30 EUR).	`autoRenewPeriod` + `clientHold`
D+30 a D+45	Fim da grace period conforme o registrar. O registrar exclui o domínio de sua base e o registro o coloca em redemption.	Transição para `redemptionPeriod`
D+45 a D+75	Redemption period. Restauração possível apenas pelo titular original, com taxas de 80 a 200 EUR. O domínio não resolve mais.	`redemptionPeriod`
D+75 a D+80	Pending delete. Nenhuma recuperação possível. Os serviços de drop catching se preparam.	`pendingDelete`
D+80+	Liberação. O domínio está disponível para qualquer pessoa. Os bots de drop catching tentam o registro em poucos milissegundos.	Nenhum

As durações exatas variam conforme o registrar e o TLD. Para os ccTLDs, os ciclos podem ser muito diferentes: o .fr (AFNIC) aplica uma quarentena de 30 dias após a exclusão, durante a qual apenas o titular anterior pode re-registrar o domínio. O .de (DENIC) não oferece redemption period: o domínio é liberado imediatamente após a exclusão.

O drop catching: como os domínios expirados são recuperados

Quando um domínio de valor atinge a fase de liberação, raramente fica disponível por mais de alguns segundos. Serviços especializados, chamados "drop catchers", usam sistemas automatizados que enviam solicitações de registro ao registro em alta frequência, às vezes várias dezenas de vezes por segundo, para capturar o domínio no instante exato de sua exclusão.

Como funciona o backordering

O backordering consiste em reservar um domínio antes de sua liberação. O usuário faz um "backorder" junto a um serviço especializado, que se encarregará de tentar o registro automático no segundo em que o domínio for excluído do registro.

Os principais players do mercado:

DropCatch: backorder a 59 USD, cobrança apenas em caso de sucesso. Se vários usuários fizeram backorder, o domínio vai a leilão público de 3 dias.
SnapNames: especialista histórico em backorder. Mesmo funcionamento, com leilões privados em caso de concorrência.
Pool.com: vinculado à Tucows (registrar de grande porte), o que dá uma vantagem em termos de rapidez de registro.

Para maximizar as chances de captura, os investidores em domínios fazem backorders simultâneos em vários serviços. A taxa de sucesso depende da concorrência pelo domínio visado e da proximidade técnica do serviço com o registro.

Por que os domínios expirados têm valor

Um domínio expirado conserva temporariamente seus atributos adquiridos ao longo dos anos: perfil de backlinks, autoridade de domínio, histórico de indexação e tráfego residual. É isso que torna o mercado de domínios expirados lucrativo. Em 2024, o mercado secundário de nomes de domínio registrou cerca de 144 700 vendas para um volume total de 185 milhões de USD.

Os compradores se dividem em duas categorias: os investidores legítimos que desenvolvem um projeto em um domínio com histórico, e os agentes maliciosos que exploram a reputação do domínio para fins de spam, phishing ou manipulação de SEO.

Domínios expirados e posicionamento: os riscos de SEO

A expiração de um domínio tem consequências diretas no seu posicionamento nos mecanismos de busca. Esses efeitos são às vezes irreversíveis.

Desindexação pelo Google

Quando um domínio não resolve mais (status clientHold ou NXDOMAIN), os robôs do Google tentam revisitar as páginas habituais. Diante de erros de DNS repetidos, o Google retira progressivamente as páginas de seu índice. O processo leva algumas semanas para sites pequenos, às vezes vários meses para sites volumosos. Quanto mais longa a interrupção, mais longa e incerta é a recuperação.

Perda de backlinks e de autoridade

Todos os links de entrada para o domínio expirado retornam um erro. Os sites referenciadores não corrigem espontaneamente seus links: o domínio perde seu perfil de backlinks e a autoridade que dele derivava. Mesmo após a renovação, a recuperação do posicionamento pode levar semanas a meses, sem garantia de voltar ao nível inicial.

Abuso de domínios expirados: o problema do SEO parasita

O Google formalizou o combate ao abuso de domínios expirados em sua atualização de março de 2024 (March 2024 Spam Update). A política é explícita: a compra de um domínio expirado com o objetivo principal de manipular o ranking hospedando conteúdo de baixa qualidade constitui spam.

Exemplos identificados pelo Google:

Conteúdo de afiliados substituindo um site de agência governamental
Produtos médicos comerciais em um antigo domínio de associação beneficente
Conteúdo de cassino hospedado em um antigo domínio de escola primária

As consequências: ação manual (desindexação completa) ou penalidade algorítmica (queda no ranking). A recuperação após uma ação manual leva vários meses, se for bem-sucedida.

Ponto importante: reutilizar legitimamente um domínio expirado para um novo projeto original não é penalizado. O Google visa especificamente os casos em que o histórico do domínio é explorado para dar visibilidade artificial a conteúdo sem valor.

Proteger seu posicionamento

Para evitar a perda de SEO ligada a uma expiração acidental:

Ative a renovação automática em todos os domínios indexados pelo Google
Monitore suas datas de expiração independentemente do registrar
Em caso de expiração acidental, renove nos 5 primeiros dias: a maioria dos registrars ainda não suspendeu o DNS, e o Google ainda não começou a desindexação

Proteger seu domínio contra roubo (domain hijacking)

O domain hijacking consiste em assumir o controle de um nome de domínio sem a autorização de seu titular legítimo. As consequências vão desde a simples interrupção de serviço ao roubo de tráfego, phishing direcionado e perda definitiva do domínio.

Os 5 vetores de ataque

1. Engenharia social

O atacante contata o registrar se passando pelo titular. Ele usa informações públicas (dados antigos do WHOIS, redes sociais, organogramas empresariais) para convencer o suporte técnico a modificar os parâmetros do domínio ou fornecer o código de autorização de transferência.

2. E-mail comprometido

O endereço de e-mail associado ao domínio no registrar é o ponto de controle crítico. Se um atacante acessa essa caixa de e-mail (phishing, credential stuffing, vazamento de dados), ele pode iniciar uma transferência, validar as confirmações e assumir o controle do domínio. A maioria dos registrars envia os códigos de transferência e as confirmações de modificação por e-mail.

3. Falha ou comprometimento do registrar

O próprio registrar pode ser comprometido. Vulnerabilidade na interface de gerenciamento, API mal protegida, acesso administrativo comprometido. Em julho de 2024, a migração Google Domains para Squarespace ilustrou esse risco: a ausência de verificação de e-mail na criação de conta permitiu que atacantes tomassem domínios de plataformas cripto como Compound Finance, Celer Network e Pendle Finance.

4. Sequestro de DNS (DNS hijacking)

Sem assumir o controle do domínio em si, o atacante modifica os registros DNS para redirecionar o tráfego. Isso pode ser feito via comprometimento da conta do registrar, do provedor DNS, ou por um ataque ao próprio protocolo DNS (envenenamento de cache, ataque BGP nos servidores de nomes).

5. Retomada de domínio expirado (expired domain takeover)

O atacante monitora os domínios próximos da expiração e os registra assim que são liberados. Se o domínio tinha tráfego, e-mails ativos ou backlinks, o atacante os herda. Esse vetor é particularmente insidioso para subdomínios esquecidos apontando para serviços de terceiros desativados (dangling DNS).

Os 5 vetores de domain hijacking: engenharia social, e-mail comprometido, falha no registrar, DNS hijacking, expired domain takeover

Os 3 níveis de proteção

Nível 1: Registrar lock (transfer lock)

O bloqueio básico, ativável com um clique na interface do seu registrar. Ele adiciona o status EPP clientTransferProhibited ao domínio: nenhuma transferência pode ser iniciada sem desativar manualmente o lock previamente.

Custo: gratuito na quase totalidade dos registrars. Ativação recomendada em todos os seus domínios sem exceção.

Nível 2: Full lock (registrar)

Além do transfer lock, o full lock adiciona os status clientDeleteProhibited (impede a exclusão) e clientUpdateProhibited (impede a modificação dos servidores de nomes e dos contatos). O domínio fica congelado: nenhuma modificação possível sem desativar os locks manualmente.

Custo: geralmente gratuito, mas raramente ativado por padrão. Verifique na interface do seu registrar.

Nível 3: Registry lock

O bloqueio mais robusto. O registro (Verisign, AFNIC, etc.) adiciona os status serverTransferProhibited, serverDeleteProhibited e serverUpdateProhibited. Qualquer modificação requer um procedimento manual com verificação de identidade junto ao registro, frequentemente por telefone ou correspondência.

Custo: 50 a 300 EUR/ano conforme o TLD e o registrar. Reservado para domínios críticos: marcas, sites de e-commerce, infraestrutura DNS.

Um registry lock teria impedido os comprometimentos durante o incidente Squarespace/Google Domains de 2024: mesmo com acesso à conta do registrar, os atacantes não teriam conseguido modificar o DNS sem passar pelo procedimento manual do registro.

Caso real n.1: a migração Squarespace/Google Domains (julho de 2024)

Em junho de 2023, a Squarespace comprou a atividade Google Domains, incluindo cerca de 10 milhões de nomes de domínio. A migração técnica se estendeu por vários meses em 2024.

Entre 9 e 12 de julho de 2024, atacantes exploraram uma falha crítica no processo de migração. A análise conduzida pelos pesquisadores da MetaMask e Paradigm revelou o mecanismo: a Squarespace havia previsto que os usuários migrados se conectariam via OAuth (botão "Continue with Google"). Mas a plataforma também permitia a criação de contas por e-mail, sem verificação. Os atacantes criaram contas usando os endereços de e-mail associados aos domínios migrados, antes que os titulares legítimos o fizessem. Com esse acesso, modificaram os registros DNS para redirecionar o tráfego para sites de phishing hospedando wallet drainers.

Entre as vítimas: Compound Finance, Celer Network, Pendle Finance e Unstoppable Domains, todas plataformas cripto cujos usuários manipulam ativos digitais. A autenticação multifator não estava ativada por padrão nas contas migradas, e a plataforma não enviava nenhuma notificação por e-mail para modificações de DNS.

A Squarespace implantou uma correção em 12 de julho, eliminando a possibilidade de criar uma conta apenas por e-mail.

Lições a reter:

Uma mudança de registrar (voluntária ou imposta) é um momento de vulnerabilidade máxima
As proteções EPP (clientUpdateProhibited) teriam bloqueado a modificação do DNS
A autenticação multifator deve ser ativada imediatamente após qualquer migração
Domínios críticos necessitam de um registry lock, independente da segurança da conta do registrar

Caso real n.2: o ataque "Sitting Ducks" (2024, 70 000 domínios sequestrados)

Em novembro de 2024, os pesquisadores da Infoblox revelaram uma das maiores campanhas de domain hijacking já documentadas. Batizado de "Sitting Ducks", esse ataque permitiu o sequestro de cerca de 70 000 domínios legítimos pertencentes a marcas conhecidas, associações, administrações e empresas de diversos setores.

O mecanismo explorado é a delegação DNS "lame": um domínio aponta para servidores de nomes autoritativos que seu proprietário não controla ou não controla mais. Os atacantes identificam essas configurações defeituosas e assumem o controle dos servidores de nomes alvo. Podem então responder a todas as consultas DNS do domínio e redirecionar o tráfego como desejarem.

Em um período de três meses, os pesquisadores identificaram cerca de 800 000 domínios vulneráveis a esse ataque, dos quais aproximadamente 9% foram efetivamente comprometidos. Os domínios sequestrados serviam de suporte a campanhas de phishing (páginas falsas da DHL), fraudes de investimento difundidas via Facebook Ads e infraestruturas de comando para malwares. Os agentes maliciosos, entre os quais vários grupos ligados a organizações russas, realizavam uma rotação dos domínios comprometidos a cada 30 a 60 dias para evitar a detecção.

Lições a reter:

A configuração DNS deve ser auditada regularmente: verifique se seus servidores de nomes estão mesmo sob seu controle
As delegações "lame" (apontando para servidores que você não gerencia mais) são exploráveis por terceiros
O DNSSEC teria tornado o ataque muito mais difícil, impedindo a falsificação das respostas DNS

Checklist de segurança de domínio

Verifique estes pontos para cada um dos seus domínios:

Use uma ferramenta RDAP para verificar em poucos segundos os status EPP e as datas de expiração de cada domínio.

Boas práticas de gestão de domínio

Renovação automática: prós e contras

Vantagens:

Elimina o risco de esquecimento de renovação
Sem período de interrupção de serviço
O domínio permanece protegido sem intervenção manual

Desvantagens:

Necessita de um meio de pagamento sempre válido (cartão expirado = renovação falha)
Pode renovar domínios que você desejava abandonar
Alguns registrars cobram a renovação pela tarifa padrão sem aviso prévio

Recomendação: ative a renovação automática em todos os domínios ativos. Faça uma revisão anual para identificar os domínios a não renovar e desative o auto-renew apenas nesses, algumas semanas antes da expiração.

Contatos atualizados: por que é crítico

O endereço de e-mail de contato no registrar é o ponto nevrálgico da segurança do seu domínio:

É o endereço que recebe as notificações de expiração
É o endereço que recebe os códigos de transferência e as solicitações de confirmação
É o endereço usado para o procedimento de redefinição de senha da conta do registrar
É o endereço que a ICANN usa para a verificação anual WDRP (WHOIS Data Reminder Policy)

Se esse endereço estiver obsoleto (ex-funcionário, domínio de e-mail ele próprio expirado, caixa cheia), você perde a capacidade de controlar seu domínio. Use um endereço de e-mail em um domínio diferente daquele que você gerencia, idealmente um endereço de grupo acessível a várias pessoas de confiança.

Monitoramento de expiração

Não conte apenas com as notificações do registrar. Implemente um acompanhamento independente:

Consultas RDAP periódicas: consulte seus domínios críticos para verificar as datas de expiração e os status EPP. O campo eventDate do evento expiration na resposta RDAP fornece a data exata.
Calendário dedicado: adicione lembretes a 90, 60 e 30 dias antes da expiração de cada domínio crítico.
Inventário centralizado: mantenha uma planilha ou ferramenta de gestão listando todos os seus domínios, seus registrars, datas de expiração e níveis de proteção.

Estratégia multi-registrar

Para empresas que gerenciam um portfólio de domínios importante, distribuir os domínios entre vários registrars limita o risco de ponto único de falha. Se um registrar for comprometido (como no incidente Squarespace), apenas uma parte do portfólio é exposta.

Na prática:

Agrupe os domínios críticos (produção, marcas) em um registrar premium com registry lock
Coloque os domínios secundários (projetos, landing pages) em um registrar confiável e econômico
Mantenha um registrar de backup para poder migrar rapidamente em caso de problema

Documentação interna e orçamento previsto

Mantenha um registro de domínios documentado e compartilhado com as pessoas autorizadas:

Informação	Detalhe
Nome de domínio	captaindns.com
Registrar	Nome do registrar
Data de expiração	2027-01-15
Auto-renew	Sim
Locks ativos	Transfer, Delete, Update
Registry lock	Não
Contato responsável	contact@captaindns.com
Criticidade	Alta
Custo anual	12 EUR

Esse registro permite antecipar o orçamento anual de renovação. Para um portfólio de 20 domínios, o custo pode variar de 200 EUR (TLDs padrão) a mais de 5 000 EUR (TLDs premium com registry lock). Integre esses custos no orçamento de infraestrutura para evitar esquecimentos de pagamento.

DNSSEC: a proteção DNS completa

O DNSSEC (DNS Security Extensions) assina criptograficamente seus registros DNS. Sem DNSSEC, um atacante pode falsificar as respostas DNS (envenenamento de cache) para redirecionar o tráfego para um servidor que ele controla, sem tocar no domínio nem no registrar.

O DNSSEC não protege contra o domain hijacking no nível do registrar, mas protege a integridade das respostas DNS entre os servidores de nomes e os resolvers. É uma camada complementar aos bloqueios EPP. O ataque Sitting Ducks de 2024 teria sido consideravelmente mais difícil de realizar se os domínios visados tivessem ativado o DNSSEC.

Verifique o estado do DNSSEC dos seus domínios com o verificador DNSSEC. Se a cadeia de confiança estiver ausente ou quebrada, ative o DNSSEC junto ao seu provedor DNS e publique os registros DS junto ao seu registrar.

Plano de ação recomendado

Cinco etapas para proteger seus domínios, por ordem de prioridade:

1. Auditar todos os seus domínios

Liste todos os seus domínios (produção, staging, projetos antigos, marcas registradas). Para cada um, verifique via RDAP: data de expiração, status EPP ativos, registrar, servidores de nomes. Identifique os domínios sem proteção (status ok somente) e aqueles cuja expiração se aproxima. Verifique também se os servidores de nomes delegados estão mesmo sob seu controle para eliminar os riscos do tipo Sitting Ducks.

2. Ativar a renovação automática e os transfer locks

Em cada domínio ativo: ative a renovação automática, verifique se o meio de pagamento é válido, ative clientTransferProhibited no mínimo. Para os domínios críticos, adicione clientDeleteProhibited e clientUpdateProhibited.

3. Configurar alertas de expiração

Implemente um calendário de lembretes independente do registrar. Adicione alertas a 90, 60 e 30 dias antes da expiração. Verifique trimestralmente se os contatos de e-mail estão atualizados e se as caixas estão ativas.

4. Ativar DNSSEC

Ative o DNSSEC em todos os domínios onde seu provedor DNS o suporta. Publique os registros DS junto ao registrar. Verifique a cadeia de confiança com uma ferramenta de validação DNSSEC. Monitore os alertas de assinatura expirada.

5. Documentar e orçar

Crie um inventário incluindo: nome de domínio, registrar, data de expiração, níveis de lock ativos, contato responsável, criticidade (alta/média/baixa), custo anual. Compartilhe este documento com as pessoas autorizadas. Integre os custos de renovação no orçamento de infraestrutura anual. Revise-o no mínimo uma vez por ano.

FAQ

Quanto tempo tenho para recuperar um domínio expirado?

Após a expiração, você dispõe geralmente de 30 a 45 dias de grace period para renovar pela tarifa normal, depois de 30 dias de redemption period para restaurar o domínio mediante taxas de 80 a 200 EUR. No total, cerca de 60 a 75 dias antes da exclusão definitiva. As durações exatas variam conforme o registrar e o TLD. A Cloudflare oferece a grace period mais longa (40 dias), enquanto a GoDaddy limita a 18 dias antes de aplicar restrições.

Quanto custa a restauração de um domínio expirado?

As taxas de restauração (redemption) variam de 70 a 200 EUR conforme o registrar e o TLD. Para um .com: cerca de 100 USD na GoDaddy (80 USD de restore + renovação), 90 a 100 USD na Cloudflare (custo do registro sem margem), 110 a 180 USD na Namecheap, e 80 a 140 EUR na OVHcloud. Essas taxas são impostas pelo registro (a Verisign cobra cerca de 80 USD por restore para os .com) e não são negociáveis. A restauração também requer o pagamento da renovação de pelo menos um ano.

O que significa o status EPP redemptionPeriod?

O status redemptionPeriod indica que o domínio foi excluído pelo registrar e se encontra na fase de recuperação no nível do registro. Apenas o titular original pode restaurá-lo durante esse período de 30 dias, mediante taxas de restauração. O domínio não resolve mais e nenhum serviço funciona.

Meu domínio expirou, meus e-mails estão perdidos?

Os e-mails enviados durante o período de expiração são rejeitados pelos servidores remetentes (erro "host not found" nos registros MX). Esses e-mails não ficam armazenados em algum lugar esperando: após várias tentativas (geralmente 24 a 72 horas), o remetente recebe um bounce definitivo. Se você renovar o domínio rapidamente durante a grace period, os novos e-mails funcionarão novamente, mas os enviados durante a pane são irremediavelmente perdidos.

O transfer lock impede todos os ataques ao meu domínio?

Não. O transfer lock (clientTransferProhibited) impede apenas a transferência não autorizada para outro registrar. Ele não protege contra a modificação dos registros DNS, a exclusão do domínio ou os ataques ao protocolo DNS. Para uma proteção completa, combine transfer lock, delete lock, update lock e DNSSEC. Para domínios críticos, adicione um registry lock.

Qual é a diferença entre registrar lock e registry lock?

O registrar lock é aplicado pelo seu revendedor (registrar) e modificável pela sua interface de gerenciamento. Ele adiciona os status client*Prohibited. O registry lock é aplicado pelo registro (Verisign, AFNIC) e requer um procedimento manual com verificação de identidade para qualquer modificação. O registry lock é pago (50 a 300 EUR/ano), mas oferece uma proteção independente da segurança da sua conta no registrar.

É possível recuperar um domínio em pendingDelete?

Não. O status pendingDelete significa que o domínio será excluído nos 5 dias seguintes. Nenhuma ação de recuperação é possível, nem pelo titular, nem pelo registrar, nem pelo registro. A única opção é esperar a liberação do domínio e tentar re-registrá-lo, em concorrência com os serviços de domain drop catching. Para um domínio disputado, as chances de recuperação são baixas sem passar por um serviço de backorder (custo: a partir de 59 USD).

É possível recuperar um domínio após sua liberação (post pending delete)?

Tecnicamente sim, mas na prática é muito difícil para domínios de valor. Após a exclusão, o domínio volta a ficar disponível para registro. Se você for o primeiro a enviar a solicitação de registro, pode recuperá-lo pela tarifa padrão. Mas os domínios com tráfego, backlinks ou histórico são alvos de serviços de drop catching que usam robôs automatizados para capturá-los em poucos milissegundos. Para maximizar suas chances, faça backorders em vários serviços especializados (DropCatch, SnapNames) antes da liberação.

Como verificar os status EPP e a data de expiração do meu domínio?

Use uma ferramenta RDAP para consultar seu domínio. A resposta JSON inclui os status EPP no campo status e a data de expiração nos eventos (events com eventAction: expiration). Você pode usar o RDAP Lookup do CaptainDNS para obter essas informações em poucos segundos.

A renovação automática é suficiente para proteger meu domínio?

A renovação automática protege contra a expiração acidental, mas não contra outros riscos: cartão de pagamento expirado, conta do registrar comprometida, domain hijacking. Combine a renovação automática com alertas de expiração independentes, bloqueios EPP e monitoramento regular dos seus status RDAP.

Glossário

Grace period (Auto-Renew Grace Period): período após a expiração de um domínio durante o qual o titular pode renovar pela tarifa normal. Duração: 0 a 45 dias conforme o registrar e o TLD, de acordo com a política da ICANN.
Redemption period: período de 30 dias após a exclusão de um domínio pelo registrar, durante o qual apenas o titular original pode restaurá-lo mediante taxas de restauração elevadas (80 a 200 EUR).
Pending delete: período de 5 dias que antecede a exclusão definitiva de um domínio. Nenhuma recuperação possível.
Domain hijacking: tomada de controle não autorizada de um nome de domínio, por comprometimento da conta do registrar, engenharia social ou exploração de uma falha técnica.
Transfer lock: bloqueio que impede a transferência de um domínio para outro registrar. Corresponde ao status EPP clientTransferProhibited.
Registry lock: bloqueio aplicado no nível do registro, que requer um procedimento manual para qualquer modificação. Status server*Prohibited.
EPP (Extensible Provisioning Protocol): protocolo padronizado (RFC 5730) usado entre registrars e registros para gerenciar as operações em domínios.
ERRP (Expired Registration Recovery Policy): política da ICANN que regulamenta o processo de recuperação de domínios expirados para os gTLDs. Atualizada em fevereiro de 2024.
Drop catching: técnica que consiste em registrar automaticamente um domínio nos segundos seguintes à sua liberação, usando sistemas automatizados que consultam o registro continuamente.
Backordering: reserva antecipada de um domínio em processo de expiração junto a um serviço especializado, que tentará o registro automático na liberação.
Dangling DNS: registro DNS apontando para um recurso que não existe mais (servidor desativado, serviço de terceiros cancelado), explorável por um atacante que assume o controle do recurso alvo.
Lame delegation: delegação DNS em que o servidor de nomes autoritativo designado não responde ou não está configurado para o domínio, criando uma vulnerabilidade explorável (cf. ataque Sitting Ducks).

Guias de RDAP e gestão de domínio relacionados

RDAP vs WHOIS: o guia completo da transição: entender o protocolo RDAP, os códigos EPP em detalhe, o RGPD e a migração do WHOIS.
Ciclo de vida de um nome de domínio: expiração, proteção e boas práticas (este artigo): as 7 etapas do ciclo de vida, os riscos em cada fase e as proteções concretas.