Mir hat das mit der Sicherheit keine ruhe gelassen, deswegen habe ich mich nochmal eingelesen.
Nextcloud benötigt Port 80(HTTP) & 443(HTTPS) um das WebInterface online verfügbar zu machen.
Der richtige weg ist, die Domain via Terminal mit letsencrypt zu verifizieren. Dafür muss der Port 80 aber offen bleiben. Dadurch wird die Verbindung Verschlüsselt und HTTP zu HTTPS umgeleitet. Nach Allem was ich jetzt gelesen habe, ist das „relativ“ unproblematisch. Was man auf keinen Fall machen sollte ist die NC als Exposed Host frei zu geben(Alle Ports offen).
Beste Praxis - Port 80 offen halten - Let's Encrypt - Freie SSL/TLS Zertifikate