Eu diria que a VPN pode ser considerada defesa em profundidade. Veja todos os recentes ataques contra SSL e HTTPS, que tornam a comunicação quebrável. Se você tem uma VPN entre os sites que não são baseados em SSL, você está apenas adicionando outra camada de defesa.
Além disso, se eles quiserem estender o HTTPS passado no futuro (e provavelmente o farão, todo mundo faz isso), a VPN pode acomodar isso.
Eu seria a segunda sugestão de Alnitak para fazer a autenticação mútua com SSL, de modo que isso exigiria certificados de ambos os lados.