ky0

И в чём проблема? Заводите отдельный локейшен /api, внутри которого настраиваете нужное поведение, в общем случае - proxy_pass до вашей VDS.

Так же, как к нгинксу в составе любого другого ПО - выпускаете сами или покупаете сертификат, добавляете соответствующие директивы в конфиг, делаете reload.

Обыкновенно. Заводите конфиг с proxy_pass до того, другого сервера, подсовываете ему в заголовке Host оригинальный домен - и готово.

Это логируется тот заголовок, который передаёт клиент - а ему ничего не стоит туда подставить абсолютно что угодно. Также возможен вариант, что кто-то использует для А-записи своего домена в DNS ваш айпишник - особенно часто такое случается на хостингах, когда новым клиентам может попасться адрес старого, уже отвалившегося.

Ничего страшного, короче. Можно настроить дефолтный конфиг, который все эти запросы с кривыми хостами будет блочить. Опционально - можно их и не логировать, чтобы место не тратить впустую.

Может дело в том, что SSL по факту выдан на имя Cloudflare, а не на домен example.com?

Сертификат должен быть выдан на то имя, которое вы закрасили красненьким. Из скриншотов ничего не понятно, проверьте домен на https://www.ssllabs.com/ssltest/analyze.html, например.

Добавьте $http_referer в log_format. По умолчанию реферер там, кстати, есть.

https://nginx.org/ru/docs/http/ngx_http_log_module...

Для этого нужно установить пользователю какой-нибудь нормальный шелл в /etc/passwd. Потом, собственно, можно зайти под ним через su nginx или просто выполнить нужную команду с помощью su -c.