Antes de mais nada, com relação a "se o certificado não corresponder, como o balanceamento de carga pode descriptografar cada pacote", o caso é que a validação do certificado é uma pré-condição para trocar as chaves de criptografia (simétricas). Se você remover a etapa de validação (ou partes dela), será mais provável que você consiga estabelecer a conexão criptografada, e não o contrário. O problema é que agora você tem uma conexão criptografada ativa, mas na verdade não sabe quem é a outra parte; pode ser a festa com a qual você tentou se conectar, mas também pode ser qualquer outra pessoa que tenha conseguido interceptar sua conexão.
Se o CDN permitir um certificado incompatível na origem, sem outras qualificações, isso é uma prática de segurança horrível.
Isso permitiria ataques man-in-the-middle triviais (conforme acima), já que absolutamente qualquer um pode apresentar um certificado assinado, mas incompatível, e ser aceito como origem.
Se, no entanto, o CDN tiver algum outro meio de validar o certificado de origem, como fixar (reconhecendo o próprio certificado em vez de confiar na cadeia de confiança + nome do requerente correspondente), esse certificado válido usado para essas origens e com isso, ignorando o nome do assunto, isso seria bom, pois não permitiria que os certificados incompatíveis de outra pessoa fossem aceitos. Na verdade, ele altera a validação para um modelo geral muito mais rigoroso.