Se você estiver usando endpoints SSL para seu aplicativo no Heroku, a criptografia será encerrada no balanceador de carga SSL do Heroku, e não no próprio Rails (rack + thin / puma / etc).
Por que vale a pena, não vejo nada publicado por Heroku afirmando que é possível que indivíduos desativem a renegociação de sessão TLS em seus pontos de extremidade, portanto, se você quiser esse nível adicional de segurança, precisará próprio proxy reverso de terminação SSL (como nginx ou algo assim) e colocar na frente do seu ponto final Heroku.