tgarl

Всё разобрался.
Со всеми этими редиректами и сертификатами. Итого.

1. проверяем сам сертификат внесены ли в него домен и www.домен, если чего-то не хватает добавляем, так как проверка сертификата главнее настроек nginx, редиректы работают, вот только вы это не видите пока не разрешите перейти без сертификата на страницу далее(последние обновления браузеров могут не разрешать этого делать у меня IE дает выбор, а хром нет)
если используется cerbot, то команда где перечисляем все нужные домены
certbot -d domen -d www.domen --expand
2. в основном конфиге оставляем

server {
       ...
        server_name домен;
       ...
}

а так же добавляем уже дополнительно редиректы для www

server {
	listen 80; #для http редирект сразу на https и без www
	server_name www.домен;
	return 301 https://домен$request_uri;
}
server {
	listen 443; #для https
	server_name www.домен;
	return 301 $scheme://домен$request_uri;
}

Нашел решение: необходимо для групп пользователей прописать Маска сети для привязки сессии и Маска сети для привязки сохраненной авторизации 0.0.0.0

Потому что по умолчанию проверяется не весь путь, а только та часть которая отвечает за вывод или раздела или товара.
В последних версиях настроек компонента есть галочка проверять весь путь(не помню как точно она обзывается) включите ее, тогда будет проверяться именно весь путь. Если такого нет, то придется вам самому делать такую проверку. Просто ЧПУ это правило подмены гет запроса вида 'RULE' => 'SECTION_CODE=$1&ELEMENT_CODE=$2',
когда загружается раздел проверяется только SECTION_CODE=$1, когда товар только ELEMENT_CODE=$2 - одним словом это древняя тема которая тянется с первых версий существования битрикса.