ky0

Делаете локейшен / с редиректом и локейшен = /default.pdf без.

Поскольку у вас внешний адрес - не на сервере, то и использоваться он никогда не будет. Какую задачу вы пытаетесь решить с помощью этой переменной?

Заруливайте на уровне фаерволла, имхо.

Убирайте nginx из тэгов, добавляйте РНР - пятисотые ошибки, это ошибки бэкенда, к веб-серверу они отношения обычно не имеют.

В целом - смотрите error-логи, сначала нгинкса, потом РНР. Если ошибки не логируются - сделайте, чтобы начали.

Локейшены не работают с аргументами, только с урлами.

nginx вначале ищет среди всех префиксных location’ов, заданных строками, максимально совпадающий.

https://nginx.org/ru/docs/http/request_processing.html

Добейтесь сначала, чтобы у вас открывалось всё необходимое непосредственно по 8000 порту, а только потом накручивайте nginx, доменное имя и HTTPS.

И разделите как-то ваш мегавопрос на несколько отдельных.

Создаёте каталог /var/www/letsencrypt, выдаёте на него права юзеру www-data, затем в конфиг nginx`а подкладываете вот такой локейшен:

location /.well-known/acme-challenge {
root /var/www/letsencrypt;
}

Сертификат изначально генерируется следующей командой:

certbot certonly --webroot -w /var/www/letsencrypt -d ваш.домен.ру

Для периодического обновления добавляете в крон что-нибудь такое:

0 1     1,15 * *   root    certbot renew ; /etc/init.d/nginx reload

Про настройку SSL в nginx`е не рассказываю, есть куча гайдов, например.

Всё нормально у вас с SSL. Особо тут ничего не поделаешь - первый хэндшейк в любом случае довольно долгий. При последующих запросах будет значительно быстрее всё происходить.

Расширение вы удалили - и, видимо, урлы начали обрабатываться локейшеном, в котором ничего про РНР-интерпретатор нету.

как правильно настроить nginx proxy для nuxt js

Так же, как и для любого другого бэкенда - proxy_pass, проброс нужных заголовков и всё такое.

Потому что нет прав на доступ к сокету - написано же.

Первое, что приходит в голову - HTTP Auth на bbb.com/1111 с последующим редиректом.

Модуль nginx_limit_speed_module использовать не хочу, потому что не хочется каждый раз пересобирать nginx для обновления.

ССЗБ. Добро пожаловать в дивным мир опенсорса, где собирание пакета руками - это не что-то страшное и регулярно происходящее.

Да, вы правильно понимаете.

Можно ограничиться одним апачем, создав отдельные вертуальные хосты на разных портах и/или добавив дополнительные айпишники - для тестовых целей это безразлично.

server_name действует в рамках блока server. Соответственно, даже если сертификат выпущен и для основного домена, и для субдомена (что в целом неправильно) - правила обработки должны находиться в разных блоках (если, конечно, они не аналогичны - тогда можно просто в server_name указать оба имени).

Просто делаете два сокета - каждый для своей версии и указываете их в нужных локейшенах. В конфиге (если необходимо), разносите также fastcgi_params`ы.

Сколько из этих 146 приходится на начатый с нуля SSL-хэндшейк? И что страшного в одной восьмой секунды?