Soweit richtig, jedoch zerstört man sich den Zugriff von außen, sollte https wegen irgendwelchen Zertifikatsfehlern, etc. nicht erreichbar sein.
Ich habe aber auch nur Port 443 freigegeben und es funktioniert
Es kommt darauf an welcher “Challenge Typ” beim Ausstellen oder Erneuern der Zertifikate verwendet wird, ob Port 80 offen sein muss oder nicht…
Wenn du die Anleitung von Carsten Rieger verwendet hast, solltest du Port 80 offen lassen, und kannst das auch bedenkenlos tun, weil du ja auch eine Weiterleitung von HTTP auf HTTPS und einen HSTS-Header eingerichtet hast…