vreitech

...
location / {
            satisfy any;
            allow 11.22.33.44;
            allow 22.33.44.55;
            deny  all;
            auth_basic "Oops(";
            auth_basic_user_file /etc/nginx/passwrds; 

            proxy_pass         http://127.0.0.1:8000;
...

самое простое, что приходит на ум - кэширование учётных данных.
возможно это вам поможет:
https://serverfault.com/questions/665061/caching-o...

> Говорят что UDP небезопасен и не гарантирует стабильную работу или надо UDP тоже открыть?
надо открывать UDP или не надо - зависит от приложения. если ваш сервер майнкрафта умеет работать по протоколу UDP, то можете открыть, а если он требует работать по протоколу UDP или не умеет работать по протоколу TCP - то открыть UDP придётся.

> Получается теперь я могу заливать фалы на сервер, а скачивать не могу?
можете и заливать, и скачивать.

для этого нужно, чтобы приложение при выходе в интернет использовало набор реквизитов, доступный для ограничения в настройках роутера. реквизиты - MAC-адрес источника, IP-адреса источника и назначения, порты источника и назначения, транспортный протокол, возможно, DNS-имя узла назначения и что-то ещё в более-продвинутых моделях. под ограниченностью подразумевается, что совокупность всех реквизитов технически возможно ввести в файервол роутера (т. е. количество записей и их комбинации умещаются в памяти роутера, отведённой для файервола) и поддерживать их в актуальном состоянии (эти реквизиты не меняются слишком часто).
само приложение (имя приложения или его ID) реквизитом, доступным для применения в файерволе роутера, не является, поскольку в используемых при доступе в интернет протоколах не фигурирует.

1. скорость передачи зашифрованного контента в целом ограничена полосой пропускания и в общем случае не медленнее http. временной лаг перед получение первого пакета больше, это да, но не сильно.
2. кешируется.
4. нет, если сертификат выдан по имени домена.
5. заглючить - не может. но может быть отозван.
6. в идеале это организации, которые прошли аккредитацию вышестоящих центров сертификации или комитетов по предоставлению услуги выпуска сертификатов клиентам. на основании аккредитации. законов в общем-то нет, если речь о https. выдают не просто так, а потому что аккредитованы. несут ответственность - отзыв аккредитации.
8. жёлтый - сертификат верный, но использует устаревший алгоритм шифрования. или же сайт защищён не целиком (присутствует http-контент).
11. можно.
12. можно.
13. любой.
14. не могу представить ситуацию, чтобы сайтом не поддерживался сертификат. он может не поддерживаться веб-сервером - надо заменить веб-сервер на более современный.
15. да. бесплатные сертификаты могут быть заверены слабораспространённым центром сертификации, о котором не знает, например, firefox, chrome или opera.