Guia da porta HTTP: tráfego da web na porta 80

HTTP é o protocolo de solicitação e resposta usado por navegadores, APIs, webhooks, verificações de integridade e muitos serviços internos. Na porta 80, o cliente se conecta por TCP, envia uma solicitação HTTP e recebe cabeçalhos e um corpo de resposta sem primeiro um handshake TLS.

Como o tráfego não é criptografado, qualquer pessoa que possa observar o caminho da rede poderá ver URLs, cookies, cabeçalhos, dados de formulário e conteúdo de resposta, a menos que o aplicativo adicione sua própria proteção. Para sites públicos e aplicativos autenticados, a porta 80 normalmente deve redirecionar para HTTPS em vez de servir conteúdo privado diretamente.

A porta 80 é HTTP simples. A porta 443 é HTTPS, o que significa HTTP transportado dentro de uma sessão criptografada por TLS. A experiência do usuário pode parecer semelhante em um navegador, mas o modelo de segurança é diferente: o HTTPS valida o certificado do servidor e criptografa o tráfego em trânsito.

A maioria dos locais de produção usa as duas portas juntas. A porta 80 aceita links antigos, desafios de certificado e solicitações de navegador pela primeira vez e, em seguida, envia um redirecionamento 301 ou 308 para o URL HTTPS em 443. Depois disso, o HSTS pode dizer aos navegadores para preferirem HTTPS automaticamente.

Mantenha a porta 80 aberta quando precisar de redirecionamentos HTTP para HTTPS, desafios Let's Encrypt HTTP-01, verificações de integridade do balanceador de carga, verificações de origem CDN, endpoints de status interno simples ou compatibilidade com sistemas mais antigos que não podem ser iniciados diretamente em HTTPS.

Feche ou restrinja a porta 80 quando o serviço for privado, quando todos os clientes forem controlados e puderem usar HTTPS diretamente ou quando HTTP simples criar exposição desnecessária. Se você mantê-lo aberto, mantenha o comportamento restrito e previsível: redirecionamento, desafio ou verificação de integridade, em vez de acesso total ao aplicativo.

Antes de abrir o TCP 80, confirme se o servidor web, proxy reverso, controlador de entrada, origem CDN ou balanceador de carga pretendido está escutando na interface correta. Decida se a porta 80 deve servir conteúdo, redirecionar para 443, responder a verificações de integridade ou responder apenas a caminhos de validação de certificados.

Um verificador de porta confirma a acessibilidade da rede, mas não informa se sua cadeia de redirecionamento, cabeçalhos de cache, roteamento de host virtual ou automação de certificado estão corretos. Teste o caminho TCP e o comportamento HTTP com um navegador, curl e logs do servidor.

No Windows Server, execute IIS, Nginx, Apache, Caddy ou outro servidor web, vincule o site ao TCP 80 e permita o tráfego HTTP de entrada no Firewall do Windows Defender. Os servidores em nuvem também precisam de regras correspondentes de firewall em nuvem ou de grupo de segurança.

No Linux, configure Nginx, Apache, Caddy, uma publicação de porta de contêiner ou um controlador de entrada para escutar em 80 e, em seguida, permita TCP 80 em ufw, firewalld, nftables, iptables ou no firewall do provedor. Os serviços de contêineres e Kubernetes devem publicar ou rotear a porta no host, no balanceador de carga ou na camada de entrada.

No macOS, a porta 80 é usada com mais frequência para desenvolvimento local ou serviços de laboratório. Portas privilegiadas podem exigir permissões elevadas, e regras locais de firewall ou roteador ainda determinam se outras máquinas podem acessar o serviço.

Comece com uma verificação de porta externa em relação ao nome de host público ou endereço IP e porta 80. Se o resultado for aberto, os clientes remotos poderão estabelecer uma conexão TCP. Em seguida, execute curl -I http://example.com para inspecionar códigos de status, redirecionamentos, cabeçalhos de servidor e comportamento de cache.

No servidor, verifique os ouvintes com ss -tlnp, netstat, lsof ou PowerShell. Para proxies reversos e implantações em nuvem, compare regras de firewall de host, grupos de segurança em nuvem, ouvintes de balanceadores de carga, mapeamentos de portas de contêiner e logs de aplicativos, pois qualquer camada pode bloquear ou rotear incorretamente o HTTP.

Se a porta 80 mostrar fechada, o servidor web pode ser parado, escutando apenas no host local, usando uma porta diferente ou bloqueado pelo firewall do host. Se o tempo expirar, os pacotes poderão ser descartados por um firewall de nuvem, uma regra NAT do roteador, um filtro do ISP, uma configuração de CDN ou uma política de segurança upstream.

Se a porta 80 estiver aberta, mas a página estiver errada, inspecione a ordem do host virtual, o roteamento do cabeçalho do host, os blocos de servidor padrão, os upstreams de proxy, os mapeamentos de contêiner e os registros DNS. Se os redirecionamentos fizerem loop, compare os hosts virtuais HTTP e HTTPS e certifique-se de que o proxy passe o esquema original corretamente.

Use a porta 80 intencionalmente. Redirecione o tráfego de aplicativos para HTTPS, evite credenciais e dados confidenciais em HTTP simples e mantenha apenas os endpoints que precisam permanecer acessíveis. Para sites públicos, emparelhe o redirecionamento com certificados válidos em 443 e HSTS depois de confirmar que o HTTPS está estável.

Registre solicitações na porta 80, observe caminhos inesperados e remova endpoints legados que não precisam mais de HTTP simples. Se a porta 80 for apenas para ACME ou verificações de integridade, restrinja as respostas a esses caminhos para que seja mais fácil raciocinar e monitorar o serviço.