Você tem cabeçalhos de HSTS definidos no seu bloco de servidor https. Isso significa que, se você visitar seu site com https
uma vez com seu navegador, seu navegador sempre se conectará ao seu domínio com https após a primeira visita.
Isso significa que você não pode testar sua configuração com um navegador. Você precisa testá-lo com curl
ou ferramenta similar que não armazena listas HSTS.
Existe um pequeno ajuste para a sua configuração, você pode usar uma simples correspondência de prefixo location /.well-known/acme-challenge
para o seu local LetsEncrypt. O nginx usará a correspondência mais específica dos blocos location
.