Por que o Nginx chama certificado inválido em subdomínios inexistentes apenas para redirecionar para o 404?

1. Tenha dois blocos de servidor.

2. default_server bloco dentro de http bloco de nginx.conf :

server {
   server_name _;
   listen 80 default_server;
   listen [::]:80 default_server ipv6only=on;
   listen 443 default_server;
   return 404;
}
include /etc/nginx/sites-enabled/*;

3. Um bloco de domínio / website em funcionamento dentro de sites-enabled :

server {
  listen 80;
  listen 443;
  server_name example.com;
  return 301 https://www.$server_name$request_uri;
}

server {
  listen 80;
  listen 443 ssl;
  root /var/www/example.com/htdocs/;
  index index.html index.htm;

  server_name www.example.com;
}

(Eu tenho essa configuração para redirecionar todos os não-www para www e todos os http para https)

4. Eu tenho um certificado para non-www e www para meu domínio. O Nginx, por algum motivo, está chamando qualquer subdomínio, em vez de o site padrão não ser encontrado / ERR_CONNECTION_RESET/ error.

5. Por exemplo, se eu for para https://asdf.example.com/ Nginx chama e o navegador informar que ele é um certificado SSL inseguro, você o aceita de qualquer maneira e obtém uma página 404.

6. Como faço para ir para a página 404 ignorando a mensagem do certificado inválido ou como pulo diretamente para 'página não encontrada' e não para a 404? Por exemplo. como ir para https://asdf.serverfault.com ele não dá um 404, dá um ERR_CONNECTION_RESET/ . Eu quero isso para todos os subdomínios e domínios inexistentes no meu servidor.

update: Será que todas as minhas ssl_certificate linhas são adicionadas ao bloco principal também? Se assim for, ainda não resolve pedindo ERR_CONNECTION_RESET e não 404 como exemplo dado em 6. .