Porta 80 (HTTP): o que é, por que ainda existe e como testar

A porta 80 é a porta padrão do HTTP — o canal por onde a web inteira trafegou durante quase trinta anos. Hoje, com quase 90% dos sites usando HTTPS, ela deixou de servir páginas e virou outra coisa: uma porteira.

E aí vem a pergunta que trava muita gente: se ninguém mais usa HTTP, por que a porta 80 ainda precisa ficar aberta? A resposta tem duas partes, e a segunda pega servidores de surpresa — fechar a porta 80 pode derrubar o certificado SSL do seu site sem aviso nenhum, meses depois. Este guia explica o que é a porta 80, por que ela sobreviveu ao HTTPS, como testar e quando (não) mexer nela.

Resposta rápida

A porta 80 (TCP) é a porta padrão do HTTP, reservada pela IANA. Hoje ela quase não serve páginas — seu papel é redirecionar os acessos para a porta 443 (HTTPS). Para testar: Test-NetConnection site.com.br -Port 80 no Windows, ou nc -zv site.com.br 80 no Mac e Linux. Não feche a porta 80: além de quebrar o redirecionamento, ela é usada pelo Let’s Encrypt para renovar o certificado SSL — e sem ela a renovação falha em silêncio, derrubando o cadeado do site meses depois.

O que é a porta 80

Toda conexão chega a um servidor por uma porta — um número que diz qual serviço atende o pedido. O IP é o endereço do prédio; a porta é o número da sala.

A porta 80, em TCP, é a sala do HTTP (HyperText Transfer Protocol), o protocolo que carrega as páginas da web. Quando você digita um endereço começando com http://, o navegador assume a 80 sozinho — por isso você nunca precisou escrever http://site.com.br:80.

É lá que o servidor web — Apache, Nginx, LiteSpeed — fica escutando. Se quiser entender o protocolo em si, o caminho é o que é HTTP. Este artigo é sobre a porta: o canal por onde ele passa.

Por que 80?

As portas de 0 a 1023 são as portas bem conhecidas, reservadas pela IANA para serviços padronizados. O HTTP recebeu a 80 no começo dos anos 1990, quando a web dava seus primeiros passos, e nunca mais mudou.

Mas essa faixa tem uma particularidade técnica que explica muita coisa no dia a dia: em sistemas Unix e Linux, só o root pode abrir portas abaixo de 1024. É uma proteção antiga — a ideia era que apenas serviços autorizados pelo administrador pudessem se passar por um serviço oficial.

É por isso que, quando você roda uma aplicação Node.js ou Python na sua máquina, ela sobe em localhost:3000 ou localhost:8000, e não na 80: um processo comum simplesmente não tem permissão. E é por isso que, em produção, o normal é colocar um Nginx na frente — ele escuta na 80 e na 443 e repassa para a aplicação lá dentro. Vale a leitura de o que é localhost se esses números soam familiares.

Se tudo é HTTPS, por que a porta 80 ainda existe?

Essa é a pergunta central — e ela tem duas respostas. A primeira quase todo mundo conhece. A segunda derruba sites.

1. Porque as pessoas não digitam “https://”

Ninguém digita o https://. As pessoas digitam homehost.com.br e apertam Enter. Elas clicam em links antigos, em QR codes impressos, em endereços colados num e-mail de 2019.

Historicamente, tudo isso batia na porta 80 primeiro. Se ela estivesse fechada, o visitante recebia um erro de conexão — não o seu site. Com ela aberta e configurada, o servidor responde num piscar de olhos: “aqui não, vá para a 443”. É o redirecionamento de HTTP para HTTPS, e ele é o motivo pelo qual a porta 80 vira porteiro: não serve nada, só aponta a porta certa.

Vale notar que isso está mudando: navegadores modernos já tentam https:// primeiro por padrão, e só caem para a 80 se falhar. Mas “só cai para a 80” ainda significa que a 80 precisa existir — e há muito acesso vindo de fora do navegador.

2. Porque o Let’s Encrypt precisa dela

⚠️ O que ninguém te conta antes de fechar a porta 80

O certificado gratuito do Let’s Encrypt vale 90 dias e é renovado automaticamente. O método de validação mais usado, o HTTP-01, funciona assim: a autoridade certificadora acessa http://seudominio.com.br/.well-known/acme-challenge/... para confirmar que o servidor é mesmo seu. Repare no http — essa verificação vai pela porta 80.

Se você fechar a 80, a renovação falha. Mas o site continua no ar normalmente, com o certificado atual ainda válido. Aí, até três meses depois, o certificado vence e o navegador passa a barrar todo mundo com um aviso de segurança. Ninguém liga uma coisa à outra — a mudança foi há meses. É uma das falhas mais cruéis de diagnosticar, e a causa é simplesmente uma porta fechada.

Existe alternativa: a validação DNS-01, que prova o domínio criando um registro TXT no DNS em vez de responder na porta 80. É o único caminho se você realmente precisa da 80 fechada — e é obrigatório para certificados wildcard. Mas exige que o seu provedor de DNS tenha API e que o cliente ACME saiba conversar com ela; não é o padrão de ninguém. O passo a passo de emissão está em como gerar e instalar um certificado SSL.

Porta 80 vs porta 443

Aspecto Porta 80 Porta 443
Protocolo HTTP HTTPS
Transporte TCP TCP e UDP (HTTP/3)
Criptografia Nenhuma — texto puro TLS
Papel hoje Redirecionar e validar certificado Servir o site
Pode ser fechada? Não — quebra redirect e renovação Não — é o site no ar

O detalhamento do outro lado está em porta 443 (HTTPS) — inclusive um ponto que surpreende: a 443 hoje é TCP e UDP, por causa do HTTP/3.

Uma porta 80, muitos sites

Uma dúvida comum: se um servidor hospeda cinquenta sites, como todos cabem na mesma porta 80?

A resposta está no próprio HTTP. Quando o navegador se conecta, ele manda junto um cabeçalho Host dizendo qual site quer:

GET /contato HTTP/1.1 Host: seusite.com.br

O servidor lê esse cabeçalho e decide qual site entregar — é o mecanismo dos virtual hosts. Uma porta, um IP, cinquenta sites. É graças a isso que a hospedagem compartilhada existe e que os IPv4 não acabaram ainda mais rápido. Se o assunto interessa, o que é um servidor cobre o papel de cada tipo.

Como testar se a porta 80 está aberta

De fora, a partir do seu computador:

Windows (PowerShell): Test-NetConnection seusite.com.br -Port 80 Mac / Linux: nc -zv seusite.com.br 80

Para testar o redirecionamento, e não só a porta, o curl mostra a resposta inteira:

curl -I http://seusite.com.br

O que você quer ver é um 301 Moved Permanently com um cabeçalho Location: apontando para o endereço em https://. Isso significa que a porta 80 está aberta e fazendo exatamente o trabalho dela.

Se vier um 200 OK, atenção: a porta 80 está servindo o site em HTTP, sem redirecionar. O site funciona, mas sem criptografia — e o Google trata isso como conteúdo duplicado, com o mesmo site acessível em dois endereços.

De dentro do servidor:

sudo ss -tlnp | grep :80

Como liberar a porta 80 no firewall

Ubuntu/Debian: sudo ufw allow 80/tcp CentOS/Rocky: sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --reload

Se o servidor for um VPS em nuvem, confira também o firewall do painel do provedor — é uma camada separada, fora do sistema operacional, e a causa mais comum de “liberei e continua fechada”. A lógica das regras está em o que é firewall.

E o HSTS?

O HSTS (HTTP Strict Transport Security) é um cabeçalho que o servidor envia dizendo ao navegador: “deste domínio, só aceite HTTPS de agora em diante”. O navegador guarda essa instrução e, nas próximas visitas, nem tenta a porta 80 — ele reescreve o endereço para https:// antes de sair da máquina.

É excelente para segurança: elimina a janela em que um invasor poderia interceptar aquele primeiro pedido em texto puro. E é fácil confundir isso com uma licença para fechar a 80.

Mas não é, por dois motivos. O HSTS só protege quem já visitou o site antes — o primeiro acesso de cada visitante ainda depende da 80 (a menos que o domínio esteja na lista de preload dos navegadores). E, principalmente, o HSTS não muda nada para o Let’s Encrypt: a validação HTTP-01 continua batendo na porta 80.

Problemas comuns na porta 80

Sintoma Causa provável O que fazer
Erro só ao digitar sem o “https://” Porta 80 fechada Abra a 80 e configure o redirect para a 443
Certificado venceu do nada Porta 80 fechada há meses — renovação falhou Reabra a 80 e force a renovação
curl -I devolve 200, não 301 Site sendo servido em HTTP, sem redirect Configure o redirecionamento
Loop de redirecionamento Regra manda a 80 para si mesma Revise a condição da regra no .htaccess
Servidor não sobe: “port 80 in use” Outro serviço já ocupou a porta ss -tlnp | grep :80 mostra quem
Aplicação não abre a porta 80 Portas abaixo de 1024 exigem root Use um proxy reverso na frente

Se o erro que aparece no navegador é de conexão recusada, o diagnóstico completo está em ERR_CONNECTION_REFUSED.

As portas mais usadas na web

Porta Serviço Transporte Aberta para a internet?
80 HTTP TCP Sim — redirect e renovação do SSL
443 HTTPS TCP e UDP (HTTP/3) Sim — é o site no ar
22 SSH, SCP, SFTP TCP Só se precisar — restrinja a IPs
3306 MySQL / MariaDB TCP Quase nunca — o banco não fala com o público
587 / 993 SMTP / IMAP TCP Sim — é o e-mail funcionando

Perguntas frequentes

O que é a porta 80?
É a porta TCP padrão do HTTP, reservada pela IANA desde o começo dos anos 1990. É por ela que o navegador se conecta quando você acessa um endereço começando com http://. Hoje, com a maioria dos sites em HTTPS, o papel dela mudou: em vez de servir páginas, ela redireciona os acessos para a porta 443.

Posso fechar a porta 80 e deixar só a 443?
Não é recomendado, por dois motivos. Primeiro, quem digita o endereço sem o “https://” recebe erro de conexão em vez de ser redirecionado. Segundo, e mais grave: o Let’s Encrypt usa a porta 80 para validar o domínio na renovação do certificado. Com ela fechada, a renovação falha em silêncio e o certificado vence até três meses depois.

Por que meu certificado SSL venceu sem motivo?
Uma causa frequente é a porta 80 ter sido fechada. A validação HTTP-01 do Let’s Encrypt acessa http://seudominio.com.br/.well-known/acme-challenge/ pela porta 80 para confirmar que o servidor é seu. Fechada a porta, a renovação falha, mas o site continua no ar com o certificado antigo — e o problema só aparece quando ele vence, meses depois.

Qual a diferença entre a porta 80 e a porta 443?
A porta 80 é do HTTP, em TCP, sem criptografia. A 443 é do HTTPS, com criptografia TLS e exigindo certificado, e hoje funciona tanto em TCP quanto em UDP (por causa do HTTP/3). Na prática, a 443 serve o site e a 80 apenas encaminha os acessos até ela.

Como saber se a porta 80 está aberta?
Use Test-NetConnection seusite.com.br -Port 80 no PowerShell do Windows, ou nc -zv seusite.com.br 80 no Mac e Linux. Para testar o redirecionamento junto, o comando curl -I http://seusite.com.br deve devolver um 301 com o cabeçalho Location apontando para o endereço em https://.

Por que minha aplicação Node.js não consegue usar a porta 80?
Porque em sistemas Unix e Linux só o usuário root pode abrir portas abaixo de 1024, e a 80 está nessa faixa. É uma proteção antiga do sistema. A solução usual não é rodar a aplicação como root, e sim colocar um proxy reverso (como o Nginx) na frente: ele escuta na 80 e na 443 e repassa para a aplicação, que continua numa porta alta como a 3000.

Como um servidor hospeda vários sites na mesma porta 80?
Pelo cabeçalho Host do HTTP. Quando o navegador se conecta, ele informa qual site está pedindo, e o servidor usa essa informação para decidir o que entregar — é o mecanismo dos virtual hosts. Por isso um único IP e uma única porta 80 conseguem servir dezenas de sites diferentes.

O HSTS permite fechar a porta 80?
Não. O HSTS faz o navegador ir direto ao HTTPS sem passar pela 80, o que é ótimo, mas só vale para quem já visitou o site antes — o primeiro acesso de cada visitante ainda depende dela. E, principalmente, o HSTS não muda nada para o Let’s Encrypt: a validação HTTP-01 continua exigindo a porta 80 aberta.

Redirecionamento e SSL já resolvidos

Na hospedagem da Homehost a porta 80 já vem aberta e redirecionando para a 443, e o certificado SSL renova sozinho — sem risco de vencer por uma regra de firewall esquecida. Você cuida do site; a porta a gente cuida.

Conhecer a hospedagem Homehost

Conclusão

A porta 80 é a porta que ficou. Não serve mais páginas, mas continua indispensável por dois motivos que quase nunca aparecem juntos: ela encaminha quem digita o endereço sem o https://, e ela é por onde o Let’s Encrypt renova o seu certificado. É essa segunda razão que faz de “fechar a porta 80” uma decisão perigosa — o estrago não aparece na hora, aparece três meses depois, e ninguém liga o vencimento do certificado a uma regra de firewall antiga. Se precisar conferir se está tudo certo, um curl -I http://seusite.com.br responde na hora: veio 301 com Location para o https://, a porta 80 está fazendo o trabalho dela.

Este artigo foi útil?

Obrigado pela resposta!
Picture of Gustavo Gallas

Gustavo Gallas

Analista de sistemas, formado pela PUC-Rio. Programador, gestor de redes e diretor da empresa Homehost. Pai do Bóris, seu pet de estimação. Gosta de rock'n'roll, cerveja artesanal e de escrever sobre assuntos técnicos.

Contato: gustavo.blog@homehost.com.br

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!