A maneira mais limpa de construir isso, que tem potencial para ser algo que eventualmente entregaremos, seria adicionar um novo template que seria uma alternativa ao web.ssl.template.yml, vamos chamá-lo de web.ssl2.template.yml.
Neste template, em vez de modificar o nginx, ele inicia um servidor web alternativo, digamos Caddy, que lida com todo o tráfego e faz proxy para o nginx. Isso permitiria muita experimentação, capacidade de testar múltiplos servidores web e pode potencialmente evoluir para algo que poderíamos tornar o padrão para novas instalações.