diff --git a/servers/fr1.md b/servers/fr1.md
index 8d5086a..c4ec9b3 100644
--- a/servers/fr1.md
+++ b/servers/fr1.md
@@ -59,10 +59,15 @@ backend=systemd  banaction=ufw
 ## Docker
 - Docker 29.6 + Compose v5.1 (официальный репозиторий). `rus` в группе docker.
 
+## nginx + TLS
+- nginx 1.24 (apt) + certbot 2.9 (`python3-certbot-nginx`), автопродление через systemd-таймер certbot.
+- vhost `/etc/nginx/sites-available/mon.ruzzy.dev.conf` → проксирует на Grafana (`127.0.0.1:3000`), HTTPS-редирект, websocket.
+
 ## Мониторинг (`~/monitoring`, stack в репо `stacks/monitoring/`)
 - Стек: **Prometheus + Grafana + node-exporter + cAdvisor** (docker compose).
 - Prometheus: retention 90d, слушает `127.0.0.1:9090`. Скрейпит node-exporter + cadvisor (job'ы `node`/`cadvisor`, instance `fr1`).
-- Grafana: `127.0.0.1:3000` (наружу не торчит), datasource Prometheus провижится автоматически. Доступ — SSH-туннель. Пароль admin — в `~/monitoring/docker-compose.yml` на сервере (в репо вынесен в `${GF_ADMIN_PASSWORD}`).
+- Grafana: `127.0.0.1:3000`, доступ снаружи через **https://mon.ruzzy.dev** (nginx + Let's Encrypt). Datasource Prometheus провижится автоматически. Пароль admin — в `~/monitoring/docker-compose.yml` на сервере (в репо вынесен в `${GF_ADMIN_PASSWORD}`).
+- DNS: `mon.ruzzy.dev` → 161.97.93.252.
 - Планируется: VPN-экспортёры (wireguard/openvpn/telemt) + подключение `de1` по туннелю.
 
 ## Telegram-уведомления
diff --git a/stacks/monitoring/docker-compose.yml b/stacks/monitoring/docker-compose.yml
index e030c91..9194954 100644
--- a/stacks/monitoring/docker-compose.yml
+++ b/stacks/monitoring/docker-compose.yml
@@ -25,7 +25,7 @@ services:
       GF_SECURITY_ADMIN_USER: admin
       GF_SECURITY_ADMIN_PASSWORD: ${GF_ADMIN_PASSWORD:-admin}
       GF_USERS_ALLOW_SIGN_UP: 'false'
-      GF_SERVER_ROOT_URL: http://localhost:3000
+      GF_SERVER_ROOT_URL: https://mon.ruzzy.dev
     volumes:
       - grafana_data:/var/lib/grafana
       - ./grafana/provisioning:/etc/grafana/provisioning:ro