有人发来一张截图 ｜ 91大事件——关于相似域名的说法，细节多到我怀疑人生？现在的问题是：到底哪里变了

有人发来一张截图，标题写着“91大事件”，并问我：“关于相似域名的说法，细节多到我怀疑人生？现在的问题是：到底哪里变了？”先别慌，这类看起来微妙又复杂的问题，通常不是单一项改动导致的，而是由多项细节叠加出来的错觉与风险。下面把能检查的点拆成清单，按步骤排查，能把“哪里变了”这件事变得明明白白。

先讲为什么会有“感觉不同”

• 人眼对URL的敏感度很低，但对页面外观很高。换个favicon、把登录框换个样式、或加载不同的JS，就会让人觉得“不是同一个站”。
• 域名微小差别（字母替换、额外字符、不同顶级域名、Unicode混淆）会造成误导。
• HTTPS证书、重定向、资源加载地址（CDN）不同，会带来安全与归属感的变化。

逐项排查清单（开发者/技术人员）

1. 精确比对域名文本

• 完整对比主域名、子域名、顶级域名（example.com vs example.top vs example.co）。
• 检查是否为Punycode（Unicode homograph）——用浏览器地址栏或工具查看是否以“xn--”开头。

1. DNS 与解析

• dig/nslookup 查 A/AAAA/CNAME/MX/NS 记录（例：dig +short A example.com）。
• 比较解析到的IP、TTL、是否走CDN（Cloudflare/Akamai/腾讯云等）。
• 注意是否增加或变更了CNAME链（可能把流量导向别处）。

1. HTTPS / 证书

• 查看证书颁发者、证书主题（CN/SAN）、生效/过期时间（openssl s_client 或 浏览器查看证书）。
• 在 crt.sh 或 certstream 上查证书历史，观察是否被新的证书替换或多个证书同时存在。

1. 内容与资源差异

• 页面HTML/JS/CSS是否被替换或注入新脚本（用浏览器开发者工具 network / source）。
• 比对favicon、meta标签、标题、logo、页面文字与交互逻辑。
• 检查是否加载来自未授权第三方的JS（分析第三方域名和请求）。

1. 重定向与路径

• 访问主域名时是否发生301/302重定向到别的域名或子域名。
• URL路径结构是否突然改变（/login -> /signin），可能是改版或钓鱼。

1. WHOIS / Registrar

• 查询域名注册信息：注册商、注册时间、到期时间、注册人（若非隐私保护）。
• 新注册或转移通常会伴随whois信息变化。

1. 安全防护与邮件

• 检查DNSSEC是否启用，查看SPF/DMARC/DKIM记录（影响邮件归属）。
• HSTS是否开启（影响HTTPS强制行为）。

1. 历史与快照

• Wayback Machine、archive.org、urlscan.io 抓取历史页面，比较历史版本差别。
• CT（Certificate Transparency）日志可以揭示新证书首次出现时间。

给非技术用户的速查步骤（3分钟能做的）

• 观察地址栏：域名是否和之前完全一致（逐字符比对），留意额外的短横线、数字或同音替换。
• 点击锁形图标查看证书颁发给谁（组织名/域名）。
• 把URL粘到文本编辑器，用浏览器显示的punycode看是否有“xn--”之类。
• 不要凭截图登录或输入敏感信息，优先在已知收藏夹/历史中打开网站。
• 如有怀疑，用手机和电脑分别打开，看是否行为一致（有时只在特定平台投放钓鱼页面）。

站长/品牌方应对措施（能真正“改变局面”的）

• 主动抢注常见拼写变体、同音域名与常见TLD。
• 强制HTTPS、启用HSTS 和 DNSSEC，确保证书透明度监控。
• 使用CSP、子资源完整性（SRI）和最小权限的第三方脚本加载。
• 建立域名与证书监控（certwatch/CT 监控、WHOIS 变化通知）。
• 准备法律/域名争议流程（UDRP），并完善滥用举报渠道。