"Depende". Você pode configurar seu firewall para que a finalização SSL ocorra no firewall, portanto, o fluxo de dados pode ser inspecionado lá e, em seguida, transmitido ao servidor back-end por meio de um certificado SSL diferente ou não SSL. Geralmente (em minha experiência) isso é feito apenas para instalações em larga escala com firewalls de hardware dedicados, como um Cisco PIX ou um acelerador como um F5, mas é possível até mesmo para um firewall baseado no Linux usando o Squid como um proxy de entrada.