Bonjour @Nicolas_Markovic 
Quelle est la clé publique en question ?
Non ça n’a rien à voir ce sont des logs qui devrait être au niveau warning, ça veut juste dire qu’un nœud distant tente de se faire passer pour qui il n’est pas, ou de communiquer dans une ancienne version des messages pas compatible, il faut l’ignorer.
Ce n’est pas normal. Après si ton ip publique est fixe ce n’est pas gênant de l’indiquée. Essaye de refaire un wizard network pour voir si tu arrives à supprimer l’ip publique (qui ne sert à rien si tu as un ndd).
Tu as également un nginx dans ton conteneur docker ? Ça fait beaucoup d’intermédiaires, plus d’erreurs possibles et de moins bonnes perfs, il faut mieux avoir un seul nginx, par exemple sur l’hôte. Duniter peut sans problème écouter en frontal dans le conteneur.
La doc pour docker est ici :
Non ce n’est pas nécessaire mais comme il y a 2 API publiques si tu ne peux pas rajouter de path il te faut utiliser 2 sous domaines différents.
Alors l’inverse serait plus logique, car c’est le endpoint de l’api BMA qui est susceptible d’être saisi par l’utilisateur (dans les paramètres de Cesium par exemple). Alors que le endpoint de l’API WS2P n’est jamais saisi, ce sont les nœuds qui se contactent entre eux automatiquement.
Donc il vaut mieux utiliser g1.xxx.com pour BMA et ws2p.xxx.com pour WS2P 
Je ne comprends pas ce que tu nommes “nginx sur docker” ? L’image docker officielle de Duniter ne contiens pas nginx.