Константин Б., Nikita, А как тогда быть с рекомендацией OWASP которая говорит не хранить важные данные, в том числе идентификаторы сессии (а токен пока он валиден является идентификатором сессии чисто логический, так как предоставляет доступ к данным) в localStorage, а использовать httpOnly куки, доступ к которым из js запрещен?
Wexter: Висит на обоих, изначально так же думал, что listen 443 для 4 версии, но добавление не принесло плодов. А так с такой конфигурацией он работает на всех интерфейсах и доступен. По ipv6 он будет доступен только если добавить параметр ipv6only=on.