Você deve usar o ELB + Haproxy + Backends, com o ELB fazendo a remoção de SSL e usando certificados gratuitos do AWS Certificate Manager. Deve ser muito fácil de mudar, com quase nenhum impacto no desempenho, mas com algum impacto no custo.
Em geral, ter vários certificados EXATAMENTE para o mesmo domínio não é prejudicial, a menos que seja um certificado EV ou DV, mas como você está usando, vamos criptografar, isso não é um problema. É apenas uma dor para cuidar.