Depende do site.
A situação que você descreveu acima só pode ser evitada se o servidor não aceitar a conexão na porta 80; um redirecionamento fácil de usar ou até mesmo uma página de erro que diz "use https!" permitiria que a solicitação da API não criptografada fosse enviada. É claro que, quando não funciona, a pessoa que faz a ligação deve perceber e corrigir o erro após uma tentativa malsucedida - e esperamos que não esteja testando com dados confidenciais.
O fato de essa única tentativa de comunicação não segura ser aceitável (esperamos que com dados não confidenciais) depende completamente de suas necessidades de segurança.
Se o site for usado somente para chamadas de API, é bom deixar a porta 80 desativada.
Se os usuários estiverem visitando o site em um navegador (inserindo o endereço manualmente), não espere poder deixar a porta 80 sem confusão e usuários irritados.