La forma más limpia de construirlo, que tiene el potencial de ser algo que eventualmente enviemos, sería agregar una nueva plantilla que sería una alternativa a web.ssl.template.yml, llamémosla web.ssl2.template.yml.
En esta plantilla, en lugar de modificar nginx, inicia un servidor web alternativo, digamos Caddy, que maneja todo el tráfico y se proxy a nginx. Esto permitiría mucha experimentación, la capacidad de probar múltiples servidores web y podría evolucionar en algo que podríamos convertir en el predeterminado para nuevas instalaciones.