He tenido exactamente el mismo problema después de la actualización a 2.5.0.beta4 (Moved site behind proxy, favicon and header not using https anymore - #7 by rossierd).
¿Lograste solucionar el problema? Me imagino que la actualización vino con una nueva versión de nginx (o su configuración) que provocó este problema (pero es pura hipótesis ;-)).
Intenté buscar una forma de desactivar CSRF en nginx (GitHub - gartnera/nginx_csrf_prevent: Prevent CSRF with nginx · GitHub), pero creo que nginx debe recompilarse, y no sé si necesitamos el entorno de desarrollo completo de Discourse para hacerlo.