Não sei qual é o tamanho do farm de servidores Web OPs, mas para a maioria das instalações menores / médias, acho mais simples e mais simples lidar com todos os TLS / SSL no balanceador de carga. Então você tem:
Internet (HTTPS req) -> L7 HTTPS proxy LB -> plain HTTP on LAN -> webserver
A revista O3 teve um bom artigo sobre como isso é relativamente fácil com o nginx , e o que números de desempenho que você pode esperar. f5 publicou um comentário sobre os benefícios de usar um dispositivo comercial para aceleração de SSL em vez de uma solução DIY (IMHO um pouco tendenciosa).
Observe que você precisará dos seus servidores da Web para inspecionar os cabeçalhos X-Forwarded-For e X-FORWARDED_PROTO e manipular a conexão corretamente.
A maioria das instalações deve ficar bem com um único HTTP & Balanceador de carga HTTPS ou um par de balanceadores de carga na configuração ativa / passiva para HA. Nessa configuração, o currículo do handshake não é um problema , pois há apenas um ponto de extremidade SSL / TLS (que normalmente suporta automaticamente o retomada do handshake).