Sua melhor aposta seria configurar uma VPN segura de site para site e permitir que os telefones façam o download de sua configuração via TFTP pela VPN.
O problema fundamental nessa situação é que, mesmo se você tivesse um protocolo "seguro" para baixar a configuração, ainda teria que fornecer ao telefone algum tipo de credencial de segurança (par de chaves pública / privada, nome de usuário e senha, seja qual for) para permitir que o servidor autentique e libere as informações confidenciais.
A abordagem padrão da Cisco para esse problema é descrita em sua documentação sobre arquivos de configuração de telefone criptografados. É possível fazer uma coisa dessas, mas infelizmente (e inevitavelmente) você precisa cuidar da distribuição das chaves de antemão.