Ich versuche mich mal etwas dranzuhängen 
Bin auch frisch auch Home Assistant umgezogen. Da ich die Alexa (ohne Home Assistant Cloud) verwenden möchte, muss ich 443 weiterleiten (zumindest ist mein Stand, dass aus Lambda, etc. heraus ein anderer Port verwendet werden kann - beim Skill-verbinden lande ich ohne 443 immer auf Error).
Du hast ja scheinbar auch eine eigene Domain. Bei mir ist die Portfreigabe von ANY 443 an Home-Assistant-IP 443 eingerichtet. Die NGINX-Konfiguration: Container 443 an Host 443.
Die LE-Zertifikate liegen in /ssl --> LE speichert die standardmäßig in einem Pfad unter LE --> ggf. liegt da schon das Problem?
Ansonsten unter Home Assistant --> Einstellungen (Sidebar) --> Einstellungen --> Allgemein --> "Externe URL" und "Interne URL" richtig gefüllt? Wenn Deine App mit dem genannten Fehler startet, sollte Sie Dir auch die Auswahl bieten, die interne/externe URL zu bearbeiten --> damit die App weiß, wie sie versuchen soll die Verbindung herzustellen.
In der configuration.yaml sollte so etwas eingetragen sein:
# Konfiguration für NGINX
http:
use_x_forwarded_for: true
trusted_proxies:
- 172.30.33.0/24
Denk dran, dass die LE relativ kurz ablaufen und aktualisiert werden müssen. Wenn Du das nicht automatisiert hast, dann gibt's auch eine Integration in HA, welche den Status checkt. Cert checker o.ä. (in der deutschen Übersetzung heißt es "Zertifikatsablauf"). Kannste ins Lovelace paken, um Dir die Restgültigkeit anzeigen zu lassen und/oder natürlich auch eine Automatisierung, etc. draufsetzen.
Bei mir läuft es damit 1a --> jetzt kommt das ABER: Das Port-Forwarding der UDMP (für 443) funktioniert so im Dreh 3 bis 4 Tage, danach läuft alles von extern auf "nicht erreichbar". Nur Restart der Console hilft - was ja aber so eher nicht wünschenswert ist. Habe den Support jetzt mal angeschrieben und schaue mal, ob mir geholfen werden kann. Spannend ist, dass man das Support-File mitsenden soll. Das habe ich natürlich erwartet, aber es hat etwas über 50 MB und UI scheint diese Dateigröße nicht entgegennehmen zu können und ein Upload über das Support-Tool ist auch nicht möglich... Naja, hab es jetzt mit PW-Schutz und öffentlicher Freigabe über google-drive versucht. Auch, wenn sich das eigentlich irgendwie nicht gut anfühlt...
Sollte jemand von euch nen heißen Tipp haben - natürlich gern her damit. Ich habe nur zwei Portweiterleitungen. Die zweite (TeamSpeak-Port) geht von ANY 9987 (UPD) an IP xyz 9987. Und diese läuft konstant einwandfrei durch - auch wenn 443 schon wieder "über den Jordan" ist.
Hoffe, ich konnte Dir ggf. etwas helfen und vielleicht hat ja auch jemand einen Tipp für mich 
Viele Grüße
Sascha
