Porta 443 (HTTPS): o que é, como testar e como liberar

A porta 443 é a porta do HTTPS — é por ela que passa todo site que carrega com o cadeado no navegador. Quando você acessa https://homehost.com.br, a conexão vai para a porta 443 do servidor, mesmo sem você digitar número nenhum.

Ela é, hoje, provavelmente a porta mais movimentada da internet: como quase 90% dos sites usam HTTPS, praticamente toda navegação passa por ali. Este guia explica o que é a porta 443, como ela difere da porta 80, como testar se está aberta, como liberá-la — e por que abrir a porta 443 não é o mesmo que ter HTTPS, uma confusão que trava muita gente.

Resposta rápida

A porta 443 é a porta padrão do HTTPS, reservada pela IANA. É o canal por onde trafega a navegação criptografada — em TCP no HTTP/1.1 e HTTP/2, e também em UDP no HTTP/3. Para testar se está aberta: Test-NetConnection site.com.br -Port 443 no Windows, ou nc -zv site.com.br 443 no Mac e Linux. Importante: abrir a porta 443 não dá HTTPS ao seu site — para isso é preciso um certificado SSL instalado.

O que é a porta 443

Toda conexão na internet chega a um servidor por uma porta — um número que diz qual serviço deve atender o pedido. O IP é o endereço do prédio; a porta é o número da sala.

A porta 443 é a sala do HTTPS (HyperText Transfer Protocol Secure), a versão criptografada do HTTP. É lá que o servidor web — Apache, Nginx, LiteSpeed — fica escutando as conexões seguras. Quando você digita um endereço começando com https://, o navegador assume a 443 automaticamente; por isso você nunca precisa escrever https://site.com.br:443.

Se quiser entender o protocolo em si, comece por o que é HTTPS. Este artigo é sobre a porta — o canal por onde ele passa.

Por que 443?

O número vem da mesma lógica da porta 22 do SSH: as portas de 0 a 1023 são portas bem conhecidas, reservadas pela IANA para serviços padronizados.

Quando a Netscape criou o HTTPS em 1994, o HTTP já ocupava a porta 80 havia anos. Como a versão segura precisava de um canal próprio — para o servidor saber, já na chegada, que aquela conexão exigia handshake criptográfico —, foi pedido um número novo à IANA. Saiu a 443, e ela nunca mudou.

Essa é a razão de existirem duas portas em vez de uma: o servidor precisa saber se deve criptografar antes de qualquer dado trafegar. A porta é o que entrega essa informação.

Porta 443 vs porta 80: a diferença

Aspecto Porta 80 Porta 443
Protocolo HTTP HTTPS
Criptografia Nenhuma — texto puro TLS
Precisa de certificado Não Sim
No navegador Aviso de “Não seguro” Cadeado
Papel hoje Só redirecionar para a 443 Servir o site de verdade

Um detalhe que a tabela esconde: a porta 80 não deve simplesmente ser fechada. Quando alguém digita site.com.br sem o https://, o navegador ainda tenta a porta 80 primeiro. Se ela estiver fechada, a pessoa recebe um erro de conexão em vez do seu site.

O certo é manter a 80 aberta apenas para redirecionar todo acesso para a 443. É o papel que sobrou para ela — porteiro que aponta a porta certa. O passo a passo está em como redirecionar HTTP para HTTPS usando o .htaccess. A diferença entre os dois protocolos está detalhada em o que é HTTP.

Abrir a porta 443 não dá HTTPS ao seu site

⚠️ A confusão mais comum

Liberar a porta 443 no firewall não faz o seu site virar HTTPS. A porta é só o canal — o cadeado depende de um certificado SSL/TLS instalado e configurado no servidor. Sem certificado, a porta 443 aberta simplesmente não atende, ou atende com um aviso de segurança gritante no navegador. São duas coisas separadas: a porta é a estrada, o certificado é a licença para trafegar nela.

Na prática, ter HTTPS funcionando exige três coisas juntas:

  1. A porta 443 aberta no firewall do servidor (e no do painel do provedor, se houver).
  2. Um certificado SSL válido, emitido para o seu domínio e dentro da validade.
  3. O servidor web configurado para usar esse certificado na 443.

Se você está montando isso do zero, o caminho está em como gerar e instalar um certificado SSL. Em hospedagens compartilhadas, os três passos costumam já vir prontos — o certificado é emitido e a porta configurada automaticamente.

A porta 443 hoje é TCP e UDP

Aqui está um ponto que quase nenhum material em português menciona, e que mudou nos últimos anos.

Durante décadas, a porta 443 foi exclusivamente TCP. Mas o HTTP/3, a versão mais recente do protocolo, abandonou o TCP e passou a rodar sobre o QUIC, que usa UDP — e manteve o mesmo número 443.

Ou seja: hoje um servidor moderno escuta a 443 em TCP (para HTTP/1.1 e HTTP/2) e a 443 em UDP (para HTTP/3), ao mesmo tempo. Duas portas com o mesmo número, em protocolos de transporte diferentes.

Isso tem uma consequência prática que pega gente desprevenida: se você libera no firewall apenas 443/tcp, o HTTP/3 não funciona — as conexões silenciosamente caem de volta para HTTP/2, sem erro visível. O site continua no ar e ninguém percebe; só o ganho de desempenho do HTTP/3 desaparece. Para habilitá-lo, é preciso liberar 443/udp também.

Por que a porta 443 quase nunca é bloqueada

Uma característica curiosa da 443: ela é praticamente sempre aberta, em qualquer rede.

Redes corporativas, escolas, hotéis e aeroportos bloqueiam bastante coisa — SSH, FTP, portas de e-mail, jogos. Mas ninguém bloqueia a 443, porque isso derrubaria toda a navegação web da rede. Seria como fechar a porta da frente do prédio para impedir entregas.

E isso produziu um efeito colateral interessante: como a 443 é o único caminho garantido, muita coisa que não é site passa a se disfarçar de HTTPS para atravessar firewalls. VPNs comerciais, ferramentas de acesso remoto e até SSH podem ser configurados para trafegar pela 443 — do lado de fora, tudo parece navegação normal.

É por isso que, se a sua rede bloqueia o SSH na porta 22, uma das saídas conhecidas é justamente tunelar a conexão pela 443. Funciona pelo mesmo motivo: ninguém pode fechá-la.

Como testar se a porta 443 está aberta

De fora, a partir do seu computador:

Windows (PowerShell): Test-NetConnection seusite.com.br -Port 443 Mac / Linux: nc -zv seusite.com.br 443

Para testar o certificado junto, e não só a porta, o OpenSSL faz o handshake completo:

openssl s_client -connect seusite.com.br:443

Esse comando mostra a cadeia de certificados, a versão do TLS negociada e a validade. É o teste mais completo: se ele responder, a porta está aberta e o certificado está funcionando.

De dentro do servidor, para ver quem está escutando:

sudo ss -tlnp | grep :443 sudo ss -ulnp | grep :443 # para o HTTP/3 (UDP)

Como liberar a porta 443 no firewall

Ubuntu/Debian: sudo ufw allow 443/tcp sudo ufw allow 443/udp # HTTP/3 CentOS/Rocky: sudo firewall-cmd --permanent --add-service=https sudo firewall-cmd --permanent --add-port=443/udp sudo firewall-cmd --reload

Não esqueça de liberar a 80 também, para o redirecionamento funcionar. E se o servidor for um VPS em nuvem, confira o firewall do painel do provedor — é uma camada separada, fora do sistema operacional, e a causa mais comum de “liberei a porta e continua fechada”. A lógica das regras está em o que é firewall.

Problemas comuns na porta 443

Sintoma Causa provável O que fazer
O site abre em HTTP, mas não em HTTPS 443 fechada ou sem certificado Teste a porta e o certificado com o OpenSSL
Aviso de “conexão não é particular” Certificado vencido, errado ou incompleto A porta está OK — o problema é o certificado
Erro só ao digitar sem o “https://” Porta 80 fechada Abra a 80 e configure o redirecionamento para a 443
Liberei a porta e continua fechada Firewall do painel do provedor Há uma segunda camada fora do sistema operacional
HTTP/3 não ativa 443/udp não liberada Libere o UDP — o TCP sozinho não basta

Se o erro que aparece é o de conexão segura no navegador, o diagnóstico completo está em não foi possível estabelecer uma conexão segura.

As portas mais usadas na web

Porta Serviço Transporte Aberta para a internet?
443 HTTPS TCP e UDP (HTTP/3) Sim — é o site no ar
80 HTTP TCP Sim — só para redirecionar à 443
22 SSH, SCP, SFTP TCP Só se precisar — restrinja a IPs
3306 MySQL / MariaDB TCP Quase nunca — o banco não fala com o público
587 / 993 SMTP / IMAP TCP Sim — é o e-mail funcionando

A coluna da direita conta uma história: nem toda porta conhecida quer ser encontrada. A 443 e as de e-mail existem para receber o mundo; a 22 aceita o mundo, mas não deveria; e a 3306 não tem por que estar lá — quem conversa com o visitante é o site, não o banco de dados. Cada uma tem seu guia: porta 22 (SSH), porta 3306 (MySQL) e portas de e-mail.

Perguntas frequentes

O que é a porta 443?
É a porta padrão do HTTPS, reservada pela IANA. É por ela que trafega toda a navegação criptografada da web — quando você acessa um endereço começando com https://, o navegador se conecta à porta 443 do servidor automaticamente. Hoje ela opera tanto em TCP (HTTP/1.1 e HTTP/2) quanto em UDP (HTTP/3).

Qual a diferença entre a porta 80 e a porta 443?
A porta 80 é do HTTP, sem criptografia; a 443 é do HTTPS, com criptografia TLS e exigindo certificado. Hoje a 80 serve basicamente para redirecionar os acessos para a 443 — ela não deve ser fechada, ou quem digitar o endereço sem o “https://” recebe erro de conexão.

Abrir a porta 443 faz meu site ter HTTPS?
Não. A porta é apenas o canal; o HTTPS depende de um certificado SSL/TLS válido, instalado e configurado no servidor web. Sem certificado, a porta 443 aberta não atende ou atende com um aviso de segurança no navegador. São coisas separadas.

A porta 443 é TCP ou UDP?
As duas. Tradicionalmente ela é TCP, usada pelo HTTP/1.1 e HTTP/2. Mas o HTTP/3 roda sobre o protocolo QUIC, que usa UDP, mantendo o mesmo número 443. Se você liberar só 443/tcp no firewall, o HTTP/3 não funciona — as conexões caem silenciosamente para HTTP/2.

Como saber se a porta 443 está aberta?
Use Test-NetConnection seusite.com.br -Port 443 no PowerShell do Windows, ou nc -zv seusite.com.br 443 no Mac e Linux. Para testar a porta e o certificado juntos, o comando openssl s_client -connect seusite.com.br:443 faz o handshake completo e mostra a cadeia de certificados e a versão do TLS.

Posso fechar a porta 80 e deixar só a 443?
Não é recomendado. Quando alguém digita o endereço sem o “https://”, o navegador tenta a porta 80 primeiro. Com ela fechada, a pessoa recebe erro de conexão em vez de ser redirecionada ao site. O correto é manter a 80 aberta apenas para redirecionar tudo para a 443.

Por que a porta 443 nunca é bloqueada nas redes?
Porque bloqueá-la derrubaria toda a navegação web da rede — praticamente todo site hoje usa HTTPS. Por ser o único caminho garantido, a 443 acabou virando rota de fuga: VPNs, ferramentas de acesso remoto e até SSH podem ser tunelados por ela para atravessar firewalls restritivos.

Liberei a porta 443 mas ela continua fechada. Por quê?
A causa mais comum em servidores VPS é o firewall do painel do provedor — uma camada de segurança separada, fora do sistema operacional. Liberar no ufw ou no firewalld não adianta se a regra do painel continuar bloqueando. Verifique as duas camadas.

Cadeado no seu site, sem dor de cabeça

Na hospedagem da Homehost o certificado SSL é emitido e renovado automaticamente, com a porta 443 e o redirecionamento já configurados. Você não mexe em firewall nem em certificado — o cadeado simplesmente aparece.

Conhecer a hospedagem Homehost

Conclusão

A porta 443 é o caminho por onde passa quase toda a internet hoje — e, por isso mesmo, a única que ninguém pode se dar ao luxo de fechar. Três coisas valem guardar: abrir a porta não dá HTTPS ao site (isso depende do certificado); a porta 80 deve continuar aberta, só que apenas para redirecionar; e a 443 hoje é TCP e UDP, então liberar só o TCP deixa o HTTP/3 fora do jogo silenciosamente. Se algo falhar, o openssl s_client responde em um comando se o problema é a porta ou o certificado — e essa é quase sempre a primeira bifurcação do diagnóstico.

Este artigo foi útil?

Obrigado pela resposta!
Picture of Gustavo Gallas

Gustavo Gallas

Analista de sistemas, formado pela PUC-Rio. Programador, gestor de redes e diretor da empresa Homehost. Pai do Bóris, seu pet de estimação. Gosta de rock'n'roll, cerveja artesanal e de escrever sobre assuntos técnicos.

Contato: gustavo.blog@homehost.com.br

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!