A porta 80 é a porta padrão do HTTP — o canal por onde a web inteira trafegou durante quase trinta anos. Hoje, com quase 90% dos sites usando HTTPS, ela deixou de servir páginas e virou outra coisa: uma porteira.
E aí vem a pergunta que trava muita gente: se ninguém mais usa HTTP, por que a porta 80 ainda precisa ficar aberta? A resposta tem duas partes, e a segunda pega servidores de surpresa — fechar a porta 80 pode derrubar o certificado SSL do seu site sem aviso nenhum, meses depois. Este guia explica o que é a porta 80, por que ela sobreviveu ao HTTPS, como testar e quando (não) mexer nela.
A porta 80 (TCP) é a porta padrão do HTTP, reservada pela IANA. Hoje ela quase não serve páginas — seu papel é redirecionar os acessos para a porta 443 (HTTPS). Para testar: Test-NetConnection site.com.br -Port 80 no Windows, ou nc -zv site.com.br 80 no Mac e Linux. Não feche a porta 80: além de quebrar o redirecionamento, ela é usada pelo Let’s Encrypt para renovar o certificado SSL — e sem ela a renovação falha em silêncio, derrubando o cadeado do site meses depois.
Conteúdo
O que é a porta 80
Toda conexão chega a um servidor por uma porta — um número que diz qual serviço atende o pedido. O IP é o endereço do prédio; a porta é o número da sala.
A porta 80, em TCP, é a sala do HTTP (HyperText Transfer Protocol), o protocolo que carrega as páginas da web. Quando você digita um endereço começando com http://, o navegador assume a 80 sozinho — por isso você nunca precisou escrever http://site.com.br:80.
É lá que o servidor web — Apache, Nginx, LiteSpeed — fica escutando. Se quiser entender o protocolo em si, o caminho é o que é HTTP. Este artigo é sobre a porta: o canal por onde ele passa.
Por que 80?
As portas de 0 a 1023 são as portas bem conhecidas, reservadas pela IANA para serviços padronizados. O HTTP recebeu a 80 no começo dos anos 1990, quando a web dava seus primeiros passos, e nunca mais mudou.
Mas essa faixa tem uma particularidade técnica que explica muita coisa no dia a dia: em sistemas Unix e Linux, só o root pode abrir portas abaixo de 1024. É uma proteção antiga — a ideia era que apenas serviços autorizados pelo administrador pudessem se passar por um serviço oficial.
É por isso que, quando você roda uma aplicação Node.js ou Python na sua máquina, ela sobe em localhost:3000 ou localhost:8000, e não na 80: um processo comum simplesmente não tem permissão. E é por isso que, em produção, o normal é colocar um Nginx na frente — ele escuta na 80 e na 443 e repassa para a aplicação lá dentro. Vale a leitura de o que é localhost se esses números soam familiares.
Se tudo é HTTPS, por que a porta 80 ainda existe?
Essa é a pergunta central — e ela tem duas respostas. A primeira quase todo mundo conhece. A segunda derruba sites.
1. Porque as pessoas não digitam “https://”
Ninguém digita o https://. As pessoas digitam homehost.com.br e apertam Enter. Elas clicam em links antigos, em QR codes impressos, em endereços colados num e-mail de 2019.
Historicamente, tudo isso batia na porta 80 primeiro. Se ela estivesse fechada, o visitante recebia um erro de conexão — não o seu site. Com ela aberta e configurada, o servidor responde num piscar de olhos: “aqui não, vá para a 443”. É o redirecionamento de HTTP para HTTPS, e ele é o motivo pelo qual a porta 80 vira porteiro: não serve nada, só aponta a porta certa.
Vale notar que isso está mudando: navegadores modernos já tentam https:// primeiro por padrão, e só caem para a 80 se falhar. Mas “só cai para a 80” ainda significa que a 80 precisa existir — e há muito acesso vindo de fora do navegador.
2. Porque o Let’s Encrypt precisa dela
O certificado gratuito do Let’s Encrypt vale 90 dias e é renovado automaticamente. O método de validação mais usado, o HTTP-01, funciona assim: a autoridade certificadora acessa http://seudominio.com.br/.well-known/acme-challenge/... para confirmar que o servidor é mesmo seu. Repare no http — essa verificação vai pela porta 80.
Se você fechar a 80, a renovação falha. Mas o site continua no ar normalmente, com o certificado atual ainda válido. Aí, até três meses depois, o certificado vence e o navegador passa a barrar todo mundo com um aviso de segurança. Ninguém liga uma coisa à outra — a mudança foi há meses. É uma das falhas mais cruéis de diagnosticar, e a causa é simplesmente uma porta fechada.
Existe alternativa: a validação DNS-01, que prova o domínio criando um registro TXT no DNS em vez de responder na porta 80. É o único caminho se você realmente precisa da 80 fechada — e é obrigatório para certificados wildcard. Mas exige que o seu provedor de DNS tenha API e que o cliente ACME saiba conversar com ela; não é o padrão de ninguém. O passo a passo de emissão está em como gerar e instalar um certificado SSL.
Porta 80 vs porta 443
| Aspecto | Porta 80 | Porta 443 |
|---|---|---|
| Protocolo | HTTP | HTTPS |
| Transporte | TCP | TCP e UDP (HTTP/3) |
| Criptografia | Nenhuma — texto puro | TLS |
| Papel hoje | Redirecionar e validar certificado | Servir o site |
| Pode ser fechada? | Não — quebra redirect e renovação | Não — é o site no ar |
O detalhamento do outro lado está em porta 443 (HTTPS) — inclusive um ponto que surpreende: a 443 hoje é TCP e UDP, por causa do HTTP/3.
Uma porta 80, muitos sites
Uma dúvida comum: se um servidor hospeda cinquenta sites, como todos cabem na mesma porta 80?
A resposta está no próprio HTTP. Quando o navegador se conecta, ele manda junto um cabeçalho Host dizendo qual site quer:
GET /contato HTTP/1.1
Host: seusite.com.br O servidor lê esse cabeçalho e decide qual site entregar — é o mecanismo dos virtual hosts. Uma porta, um IP, cinquenta sites. É graças a isso que a hospedagem compartilhada existe e que os IPv4 não acabaram ainda mais rápido. Se o assunto interessa, o que é um servidor cobre o papel de cada tipo.
Como testar se a porta 80 está aberta
De fora, a partir do seu computador:
Windows (PowerShell): Test-NetConnection seusite.com.br -Port 80
Mac / Linux: nc -zv seusite.com.br 80 Para testar o redirecionamento, e não só a porta, o curl mostra a resposta inteira:
curl -I http://seusite.com.br O que você quer ver é um 301 Moved Permanently com um cabeçalho Location: apontando para o endereço em https://. Isso significa que a porta 80 está aberta e fazendo exatamente o trabalho dela.
Se vier um 200 OK, atenção: a porta 80 está servindo o site em HTTP, sem redirecionar. O site funciona, mas sem criptografia — e o Google trata isso como conteúdo duplicado, com o mesmo site acessível em dois endereços.
De dentro do servidor:
sudo ss -tlnp | grep :80 Como liberar a porta 80 no firewall
Ubuntu/Debian: sudo ufw allow 80/tcp
CentOS/Rocky: sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload Se o servidor for um VPS em nuvem, confira também o firewall do painel do provedor — é uma camada separada, fora do sistema operacional, e a causa mais comum de “liberei e continua fechada”. A lógica das regras está em o que é firewall.
E o HSTS?
O HSTS (HTTP Strict Transport Security) é um cabeçalho que o servidor envia dizendo ao navegador: “deste domínio, só aceite HTTPS de agora em diante”. O navegador guarda essa instrução e, nas próximas visitas, nem tenta a porta 80 — ele reescreve o endereço para https:// antes de sair da máquina.
É excelente para segurança: elimina a janela em que um invasor poderia interceptar aquele primeiro pedido em texto puro. E é fácil confundir isso com uma licença para fechar a 80.
Mas não é, por dois motivos. O HSTS só protege quem já visitou o site antes — o primeiro acesso de cada visitante ainda depende da 80 (a menos que o domínio esteja na lista de preload dos navegadores). E, principalmente, o HSTS não muda nada para o Let’s Encrypt: a validação HTTP-01 continua batendo na porta 80.
Problemas comuns na porta 80
| Sintoma | Causa provável | O que fazer |
|---|---|---|
| Erro só ao digitar sem o “https://” | Porta 80 fechada | Abra a 80 e configure o redirect para a 443 |
| Certificado venceu do nada | Porta 80 fechada há meses — renovação falhou | Reabra a 80 e force a renovação |
curl -I devolve 200, não 301 | Site sendo servido em HTTP, sem redirect | Configure o redirecionamento |
| Loop de redirecionamento | Regra manda a 80 para si mesma | Revise a condição da regra no .htaccess |
| Servidor não sobe: “port 80 in use” | Outro serviço já ocupou a porta | ss -tlnp | grep :80 mostra quem |
| Aplicação não abre a porta 80 | Portas abaixo de 1024 exigem root | Use um proxy reverso na frente |
Se o erro que aparece no navegador é de conexão recusada, o diagnóstico completo está em ERR_CONNECTION_REFUSED.
As portas mais usadas na web
| Porta | Serviço | Transporte | Aberta para a internet? |
|---|---|---|---|
| 80 | HTTP | TCP | Sim — redirect e renovação do SSL |
| 443 | HTTPS | TCP e UDP (HTTP/3) | Sim — é o site no ar |
| 22 | SSH, SCP, SFTP | TCP | Só se precisar — restrinja a IPs |
| 3306 | MySQL / MariaDB | TCP | Quase nunca — o banco não fala com o público |
| 587 / 993 | SMTP / IMAP | TCP | Sim — é o e-mail funcionando |
Perguntas frequentes
O que é a porta 80?
É a porta TCP padrão do HTTP, reservada pela IANA desde o começo dos anos 1990. É por ela que o navegador se conecta quando você acessa um endereço começando com http://. Hoje, com a maioria dos sites em HTTPS, o papel dela mudou: em vez de servir páginas, ela redireciona os acessos para a porta 443.
Posso fechar a porta 80 e deixar só a 443?
Não é recomendado, por dois motivos. Primeiro, quem digita o endereço sem o “https://” recebe erro de conexão em vez de ser redirecionado. Segundo, e mais grave: o Let’s Encrypt usa a porta 80 para validar o domínio na renovação do certificado. Com ela fechada, a renovação falha em silêncio e o certificado vence até três meses depois.
Por que meu certificado SSL venceu sem motivo?
Uma causa frequente é a porta 80 ter sido fechada. A validação HTTP-01 do Let’s Encrypt acessa http://seudominio.com.br/.well-known/acme-challenge/ pela porta 80 para confirmar que o servidor é seu. Fechada a porta, a renovação falha, mas o site continua no ar com o certificado antigo — e o problema só aparece quando ele vence, meses depois.
Qual a diferença entre a porta 80 e a porta 443?
A porta 80 é do HTTP, em TCP, sem criptografia. A 443 é do HTTPS, com criptografia TLS e exigindo certificado, e hoje funciona tanto em TCP quanto em UDP (por causa do HTTP/3). Na prática, a 443 serve o site e a 80 apenas encaminha os acessos até ela.
Como saber se a porta 80 está aberta?
Use Test-NetConnection seusite.com.br -Port 80 no PowerShell do Windows, ou nc -zv seusite.com.br 80 no Mac e Linux. Para testar o redirecionamento junto, o comando curl -I http://seusite.com.br deve devolver um 301 com o cabeçalho Location apontando para o endereço em https://.
Por que minha aplicação Node.js não consegue usar a porta 80?
Porque em sistemas Unix e Linux só o usuário root pode abrir portas abaixo de 1024, e a 80 está nessa faixa. É uma proteção antiga do sistema. A solução usual não é rodar a aplicação como root, e sim colocar um proxy reverso (como o Nginx) na frente: ele escuta na 80 e na 443 e repassa para a aplicação, que continua numa porta alta como a 3000.
Como um servidor hospeda vários sites na mesma porta 80?
Pelo cabeçalho Host do HTTP. Quando o navegador se conecta, ele informa qual site está pedindo, e o servidor usa essa informação para decidir o que entregar — é o mecanismo dos virtual hosts. Por isso um único IP e uma única porta 80 conseguem servir dezenas de sites diferentes.
O HSTS permite fechar a porta 80?
Não. O HSTS faz o navegador ir direto ao HTTPS sem passar pela 80, o que é ótimo, mas só vale para quem já visitou o site antes — o primeiro acesso de cada visitante ainda depende dela. E, principalmente, o HSTS não muda nada para o Let’s Encrypt: a validação HTTP-01 continua exigindo a porta 80 aberta.
Na hospedagem da Homehost a porta 80 já vem aberta e redirecionando para a 443, e o certificado SSL renova sozinho — sem risco de vencer por uma regra de firewall esquecida. Você cuida do site; a porta a gente cuida.
Conhecer a hospedagem HomehostConclusão
A porta 80 é a porta que ficou. Não serve mais páginas, mas continua indispensável por dois motivos que quase nunca aparecem juntos: ela encaminha quem digita o endereço sem o https://, e ela é por onde o Let’s Encrypt renova o seu certificado. É essa segunda razão que faz de “fechar a porta 80” uma decisão perigosa — o estrago não aparece na hora, aparece três meses depois, e ninguém liga o vencimento do certificado a uma regra de firewall antiga. Se precisar conferir se está tudo certo, um curl -I http://seusite.com.br responde na hora: veio 301 com Location para o https://, a porta 80 está fazendo o trabalho dela.