Non dovresti chiudere la porta 80. Invece, dovresti configurare il tuo server per reindirizzare la porta HTTP 80 alla porta HTTPS 443 per poter utilizzare TLS. Puoi facoltativamente utilizzare HSTS (HTTP Strict Transport Security) per indicare ai browser di ricordarsi di utilizzare TLS solo quando si connettono al tuo sito in futuro.
Non c'è nulla di insicuro nell'apertura della porta 80. I problemi di sicurezza si verificano solo quando il server Web serve richieste su una connessione non crittografata, soprattutto se tali richieste contengono dati sensibili. Avere la porta 80 aperta e inviare nient'altro che un reindirizzamento HTTP è perfettamente sicuro.
Google, il principale motore di ricerca di Internet (sminuendo sia Bing che Yahoo) e il browser utilizzato dalla maggior parte degli utenti di Internet, ha spinto per un mondo solo HTTPS diminuendo il page rank per i siti che non utilizzano HTTPS e aggiungendo un avviso del browser quando un sito non è sicuro. Tuttavia, il rapporto tra siti HTTPS e non è ancora troppo basso per consigliare a tutti una policy HTTPS-first, perché gli utenti riceverebbero costantemente messaggi spaventosi di "errore di certificato" o errori di "connessione rifiutata".
Quindi, fino a quando Google non consiglierà una politica HTTPS-first per le connessioni del browser, è improbabile che Firefox, Apple o Microsoft consiglieranno tali politiche, e questo non è probabile fino a quando una maggioranza decente (forse il 70% o più) dei migliori siti sono abilitati per HTTPS, il che rappresenterebbe un enorme aumento rispetto al 50% circa dei principali siti che hanno HTTPS oggi.
La maggior parte degli utenti che visitano intenzionalmente o accidentalmente il tuo sito HTTP, se accolti con un errore di "connessione rifiutata", probabilmente passeranno a un altro sito. Non ho un buon modo per ottenere numeri concreti qui, ma sarebbe probabile che il 70-90% degli utenti di Internet probabilmente non capirebbe che il sito non ha una porta HTTP senza un reindirizzamento automatico; gli altri probabilmente sono tecnicamente abbastanza competenti da rendersi conto di aver bisogno di HTTPS, oppure usano HTTPS ovunque e non se ne accorgerebbero comunque.
Usa sicuramente HSTS, sicuramente reindirizzamento 301 alle risorse HTTPS (il 301 indica un passaggio permanente ai browser, quindi "ricorderanno" questa preferenza), consiglia sicuramente ai tuoi utenti di assicurarsi che vedano un lucchetto e verifichino il certificato, ecc. blocca la porta 80 a questo punto, poiché Internet semplicemente non è ancora pronto per questo.
Per quanto ne so, non ci sono siti importanti che hanno disabilitato HTTP e porta bloccata 80. Se lo fai, infrangerai le aspettative degli utenti (che il sito ti inoltrerà a un sito sicuro) e poiché la maggior parte degli utenti non saprà cosa fare qui, perché non riceveranno un amichevole messaggio di errore, presumerà semplicemente che il tuo sito non funziona e andrà avanti.
In breve:DI SOLITO, tienilo aperto e usalo per reindirizzare tutto a HTTPS.
Passiamo ora alle cose complicate :togliere la porta 80 può fermare i ladri di cookie che cercano passivamente lo straggle http://corp.com/some/forgotten/thing richieste. La connessione TCP non riesce, il browser non invia il GET e i cookie e il malintenzionato non può leggerli.
A volte questa è una cosa ragionevole da cui proteggersi, soprattutto pensando agli ambienti aziendali:app legacy, HSTS implementato solo parzialmente, cookie che potrebbero non avere il flag o il percorso sicuro o le restrizioni dell'host, terze parti ospitate o proxy, ...
Ora, dovresti tu bloccarlo? Probabilmente no.
Come altri menzionati, ciò complicherebbe la configurazione di Let's Encrypt e impedirebbe i reindirizzamenti (inclusi gli utenti che digitano semplicemente your.com nella barra degli indirizzi). Se hai impostato HSTS a livello di dominio, la rimozione dei reindirizzamenti può essere addirittura considerata controproducente (puoi rischiare uno semplice connessione HTTP in modo da proteggere tutto quelli futuri).
Inoltre, tieni presente che gli aggressori attivi non verranno fermati (possono completare artificialmente la connessione, gli strumenti proxy MITM potrebbero persino farlo per impostazione predefinita), ci sono casi limite (semplici proxy HTTP, domini delegati al di fuori del tuo firewall) e potresti semplicemente considera l'attacco passivo troppo complicato per il tuo modello.
Infine, dovresti aggiungere porta 80 su un nuovo server? Bene, a meno che tu non abbia già un motivo per aprirlo (vedi sopra), no.