Hoje (enquanto meditando o que na terra poderia ser o problema) eu corri
apachectl -D DUMP_VHOSTS
várias vezes seguidas e notei que o vhost padrão para a porta 443 era flip entre dois nomes de host. Um não era nem mesmo um nome de vhost.
Eu fiz uma digitação reversa no endereço IP do servidor.
dig -x 1.2.3.4
E eis que dois registros 'A' retornaram. Uma para o nosso site de intranet, uma para o nome de host do servidor que usamos para ssh, etc.
Alterar um desses para ser um CNAME como deveria ter sido parece ter corrigido o problema. O servidor não está mais tendo uma crise de identidade.