A porta 443 é a porta do HTTPS — é por ela que passa todo site que carrega com o cadeado no navegador. Quando você acessa https://homehost.com.br, a conexão vai para a porta 443 do servidor, mesmo sem você digitar número nenhum.
Ela é, hoje, provavelmente a porta mais movimentada da internet: como quase 90% dos sites usam HTTPS, praticamente toda navegação passa por ali. Este guia explica o que é a porta 443, como ela difere da porta 80, como testar se está aberta, como liberá-la — e por que abrir a porta 443 não é o mesmo que ter HTTPS, uma confusão que trava muita gente.
A porta 443 é a porta padrão do HTTPS, reservada pela IANA. É o canal por onde trafega a navegação criptografada — em TCP no HTTP/1.1 e HTTP/2, e também em UDP no HTTP/3. Para testar se está aberta: Test-NetConnection site.com.br -Port 443 no Windows, ou nc -zv site.com.br 443 no Mac e Linux. Importante: abrir a porta 443 não dá HTTPS ao seu site — para isso é preciso um certificado SSL instalado.
O que é a porta 443
Toda conexão na internet chega a um servidor por uma porta — um número que diz qual serviço deve atender o pedido. O IP é o endereço do prédio; a porta é o número da sala.
A porta 443 é a sala do HTTPS (HyperText Transfer Protocol Secure), a versão criptografada do HTTP. É lá que o servidor web — Apache, Nginx, LiteSpeed — fica escutando as conexões seguras. Quando você digita um endereço começando com https://, o navegador assume a 443 automaticamente; por isso você nunca precisa escrever https://site.com.br:443.
Se quiser entender o protocolo em si, comece por o que é HTTPS. Este artigo é sobre a porta — o canal por onde ele passa.
Por que 443?
O número vem da mesma lógica da porta 22 do SSH: as portas de 0 a 1023 são portas bem conhecidas, reservadas pela IANA para serviços padronizados.
Quando a Netscape criou o HTTPS em 1994, o HTTP já ocupava a porta 80 havia anos. Como a versão segura precisava de um canal próprio — para o servidor saber, já na chegada, que aquela conexão exigia handshake criptográfico —, foi pedido um número novo à IANA. Saiu a 443, e ela nunca mudou.
Essa é a razão de existirem duas portas em vez de uma: o servidor precisa saber se deve criptografar antes de qualquer dado trafegar. A porta é o que entrega essa informação.
Porta 443 vs porta 80: a diferença
| Aspecto | Porta 80 | Porta 443 |
|---|---|---|
| Protocolo | HTTP | HTTPS |
| Criptografia | Nenhuma — texto puro | TLS |
| Precisa de certificado | Não | Sim |
| No navegador | Aviso de “Não seguro” | Cadeado |
| Papel hoje | Só redirecionar para a 443 | Servir o site de verdade |
Um detalhe que a tabela esconde: a porta 80 não deve simplesmente ser fechada. Quando alguém digita site.com.br sem o https://, o navegador ainda tenta a porta 80 primeiro. Se ela estiver fechada, a pessoa recebe um erro de conexão em vez do seu site.
O certo é manter a 80 aberta apenas para redirecionar todo acesso para a 443. É o papel que sobrou para ela — porteiro que aponta a porta certa. O passo a passo está em como redirecionar HTTP para HTTPS usando o .htaccess. A diferença entre os dois protocolos está detalhada em o que é HTTP.
Abrir a porta 443 não dá HTTPS ao seu site
Liberar a porta 443 no firewall não faz o seu site virar HTTPS. A porta é só o canal — o cadeado depende de um certificado SSL/TLS instalado e configurado no servidor. Sem certificado, a porta 443 aberta simplesmente não atende, ou atende com um aviso de segurança gritante no navegador. São duas coisas separadas: a porta é a estrada, o certificado é a licença para trafegar nela.
Na prática, ter HTTPS funcionando exige três coisas juntas:
- A porta 443 aberta no firewall do servidor (e no do painel do provedor, se houver).
- Um certificado SSL válido, emitido para o seu domínio e dentro da validade.
- O servidor web configurado para usar esse certificado na 443.
Se você está montando isso do zero, o caminho está em como gerar e instalar um certificado SSL. Em hospedagens compartilhadas, os três passos costumam já vir prontos — o certificado é emitido e a porta configurada automaticamente.
A porta 443 hoje é TCP e UDP
Aqui está um ponto que quase nenhum material em português menciona, e que mudou nos últimos anos.
Durante décadas, a porta 443 foi exclusivamente TCP. Mas o HTTP/3, a versão mais recente do protocolo, abandonou o TCP e passou a rodar sobre o QUIC, que usa UDP — e manteve o mesmo número 443.
Ou seja: hoje um servidor moderno escuta a 443 em TCP (para HTTP/1.1 e HTTP/2) e a 443 em UDP (para HTTP/3), ao mesmo tempo. Duas portas com o mesmo número, em protocolos de transporte diferentes.
Isso tem uma consequência prática que pega gente desprevenida: se você libera no firewall apenas 443/tcp, o HTTP/3 não funciona — as conexões silenciosamente caem de volta para HTTP/2, sem erro visível. O site continua no ar e ninguém percebe; só o ganho de desempenho do HTTP/3 desaparece. Para habilitá-lo, é preciso liberar 443/udp também.
Por que a porta 443 quase nunca é bloqueada
Uma característica curiosa da 443: ela é praticamente sempre aberta, em qualquer rede.
Redes corporativas, escolas, hotéis e aeroportos bloqueiam bastante coisa — SSH, FTP, portas de e-mail, jogos. Mas ninguém bloqueia a 443, porque isso derrubaria toda a navegação web da rede. Seria como fechar a porta da frente do prédio para impedir entregas.
E isso produziu um efeito colateral interessante: como a 443 é o único caminho garantido, muita coisa que não é site passa a se disfarçar de HTTPS para atravessar firewalls. VPNs comerciais, ferramentas de acesso remoto e até SSH podem ser configurados para trafegar pela 443 — do lado de fora, tudo parece navegação normal.
É por isso que, se a sua rede bloqueia o SSH na porta 22, uma das saídas conhecidas é justamente tunelar a conexão pela 443. Funciona pelo mesmo motivo: ninguém pode fechá-la.
Como testar se a porta 443 está aberta
De fora, a partir do seu computador:
Windows (PowerShell): Test-NetConnection seusite.com.br -Port 443
Mac / Linux: nc -zv seusite.com.br 443 Para testar o certificado junto, e não só a porta, o OpenSSL faz o handshake completo:
openssl s_client -connect seusite.com.br:443 Esse comando mostra a cadeia de certificados, a versão do TLS negociada e a validade. É o teste mais completo: se ele responder, a porta está aberta e o certificado está funcionando.
De dentro do servidor, para ver quem está escutando:
sudo ss -tlnp | grep :443
sudo ss -ulnp | grep :443 # para o HTTP/3 (UDP) Como liberar a porta 443 no firewall
Ubuntu/Debian: sudo ufw allow 443/tcp
sudo ufw allow 443/udp # HTTP/3
CentOS/Rocky: sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-port=443/udp
sudo firewall-cmd --reload Não esqueça de liberar a 80 também, para o redirecionamento funcionar. E se o servidor for um VPS em nuvem, confira o firewall do painel do provedor — é uma camada separada, fora do sistema operacional, e a causa mais comum de “liberei a porta e continua fechada”. A lógica das regras está em o que é firewall.
Problemas comuns na porta 443
| Sintoma | Causa provável | O que fazer |
|---|---|---|
| O site abre em HTTP, mas não em HTTPS | 443 fechada ou sem certificado | Teste a porta e o certificado com o OpenSSL |
| Aviso de “conexão não é particular” | Certificado vencido, errado ou incompleto | A porta está OK — o problema é o certificado |
| Erro só ao digitar sem o “https://” | Porta 80 fechada | Abra a 80 e configure o redirecionamento para a 443 |
| Liberei a porta e continua fechada | Firewall do painel do provedor | Há uma segunda camada fora do sistema operacional |
| HTTP/3 não ativa | 443/udp não liberada | Libere o UDP — o TCP sozinho não basta |
Se o erro que aparece é o de conexão segura no navegador, o diagnóstico completo está em não foi possível estabelecer uma conexão segura.
As portas mais usadas na web
| Porta | Serviço | Transporte | Aberta para a internet? |
|---|---|---|---|
| 443 | HTTPS | TCP e UDP (HTTP/3) | Sim — é o site no ar |
| 80 | HTTP | TCP | Sim — só para redirecionar à 443 |
| 22 | SSH, SCP, SFTP | TCP | Só se precisar — restrinja a IPs |
| 3306 | MySQL / MariaDB | TCP | Quase nunca — o banco não fala com o público |
| 587 / 993 | SMTP / IMAP | TCP | Sim — é o e-mail funcionando |
A coluna da direita conta uma história: nem toda porta conhecida quer ser encontrada. A 443 e as de e-mail existem para receber o mundo; a 22 aceita o mundo, mas não deveria; e a 3306 não tem por que estar lá — quem conversa com o visitante é o site, não o banco de dados. Cada uma tem seu guia: porta 22 (SSH), porta 3306 (MySQL) e portas de e-mail.
Perguntas frequentes
O que é a porta 443?
É a porta padrão do HTTPS, reservada pela IANA. É por ela que trafega toda a navegação criptografada da web — quando você acessa um endereço começando com https://, o navegador se conecta à porta 443 do servidor automaticamente. Hoje ela opera tanto em TCP (HTTP/1.1 e HTTP/2) quanto em UDP (HTTP/3).
Qual a diferença entre a porta 80 e a porta 443?
A porta 80 é do HTTP, sem criptografia; a 443 é do HTTPS, com criptografia TLS e exigindo certificado. Hoje a 80 serve basicamente para redirecionar os acessos para a 443 — ela não deve ser fechada, ou quem digitar o endereço sem o “https://” recebe erro de conexão.
Abrir a porta 443 faz meu site ter HTTPS?
Não. A porta é apenas o canal; o HTTPS depende de um certificado SSL/TLS válido, instalado e configurado no servidor web. Sem certificado, a porta 443 aberta não atende ou atende com um aviso de segurança no navegador. São coisas separadas.
A porta 443 é TCP ou UDP?
As duas. Tradicionalmente ela é TCP, usada pelo HTTP/1.1 e HTTP/2. Mas o HTTP/3 roda sobre o protocolo QUIC, que usa UDP, mantendo o mesmo número 443. Se você liberar só 443/tcp no firewall, o HTTP/3 não funciona — as conexões caem silenciosamente para HTTP/2.
Como saber se a porta 443 está aberta?
Use Test-NetConnection seusite.com.br -Port 443 no PowerShell do Windows, ou nc -zv seusite.com.br 443 no Mac e Linux. Para testar a porta e o certificado juntos, o comando openssl s_client -connect seusite.com.br:443 faz o handshake completo e mostra a cadeia de certificados e a versão do TLS.
Posso fechar a porta 80 e deixar só a 443?
Não é recomendado. Quando alguém digita o endereço sem o “https://”, o navegador tenta a porta 80 primeiro. Com ela fechada, a pessoa recebe erro de conexão em vez de ser redirecionada ao site. O correto é manter a 80 aberta apenas para redirecionar tudo para a 443.
Por que a porta 443 nunca é bloqueada nas redes?
Porque bloqueá-la derrubaria toda a navegação web da rede — praticamente todo site hoje usa HTTPS. Por ser o único caminho garantido, a 443 acabou virando rota de fuga: VPNs, ferramentas de acesso remoto e até SSH podem ser tunelados por ela para atravessar firewalls restritivos.
Liberei a porta 443 mas ela continua fechada. Por quê?
A causa mais comum em servidores VPS é o firewall do painel do provedor — uma camada de segurança separada, fora do sistema operacional. Liberar no ufw ou no firewalld não adianta se a regra do painel continuar bloqueando. Verifique as duas camadas.
Na hospedagem da Homehost o certificado SSL é emitido e renovado automaticamente, com a porta 443 e o redirecionamento já configurados. Você não mexe em firewall nem em certificado — o cadeado simplesmente aparece.
Conhecer a hospedagem HomehostConclusão
A porta 443 é o caminho por onde passa quase toda a internet hoje — e, por isso mesmo, a única que ninguém pode se dar ao luxo de fechar. Três coisas valem guardar: abrir a porta não dá HTTPS ao site (isso depende do certificado); a porta 80 deve continuar aberta, só que apenas para redirecionar; e a 443 hoje é TCP e UDP, então liberar só o TCP deixa o HTTP/3 fora do jogo silenciosamente. Se algo falhar, o openssl s_client responde em um comando se o problema é a porta ou o certificado — e essa é quase sempre a primeira bifurcação do diagnóstico.