Выяснил почему.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie
Secure flag indicates that the cookie is sent to the server only when a request is made with the https: scheme (except on localhost), and therefore, is more resistant to man-in-the-middle attacks.
TL;DR: запрещает использование кук в HTTP кроме локалхоста
В Set-Cookie как раз и находится параметр "Secure". Походу его убирать придётся уже на стороне NGINX