Eu recomendo o seu cenário dois. É uma boa prática ter um servidor dedicado para lidar com o material ssl / tls.
Quando o design do seu software começar a ficar mais amplo, talvez você precise de balanceamento de carga entre duas instâncias do NodeJS. Nesse caso, é mais fácil ter aderência de sessão e coisas semelhantes quando o proxy reverso pode olhar dentro dos dados transferidos (o que só é possível quando ele faz a criptografia em si)
Se você espera que seu design mude e que o proxy reverso e a instância do NodeJS sejam movidos para servidores separados, você deve planejar a criptografia desde o início, caso contrário, você transferirá dados não criptografados em uma rede.
Como ambos estão localizados na Alemanha: muitas vezes vejo software escrito sem suporte para criptografia, o que causa grandes problemas quando usado em um ambiente onde os agentes de segurança alemães exigem 100% de criptografia, mesmo que você esteja "transferindo" apenas dados da sessão. Então, dependendo de quais são os seus planos, você deve pensar duas vezes mais alto: simplicidade ou segurança.