I certificati jolly vengono in mente, supponendo che i tuoi mille siti diversi corrispondano ai sottodomini di un singolo dominio. Questo funzionerà sia per siti Web pubblici che per siti Web disponibili solo tramite LAN.
Se questo non è il caso, cioè se usi davvero migliaia di domini diversi, allora puoi pensare di automatizzare la generazione dei certificati. Se stai usando (o vuoi usarlo) Let's Encrypt, la procedura è automatizzata in qualsiasi modo, quindi il numero di domini non farà alcuna differenza in termini di tempo che trascorrerai. Assicurati, tuttavia, di controllare le quote; provare a registrare più domini contemporaneamente probabilmente supererà i limiti consentiti.
Let's Encrypt non ti consente di creare un certificato per un sito web che non è accessibile da internet (o almeno non accessibile dai server Let's Encrypt). Per quei siti web, andrei con certificati autofirmati. Il motivo per cui non è possibile utilizzare certificati autofirmati per i siti Web pubblici è che non verranno riconosciuti dai browser: per accedere a tale sito Web, il visitatore dovrà accettare un certificato autofirmato, che è una pratica che dovrebbe essere scoraggiato a tutti i costi dagli utenti non tecnici. Dato che hai a che fare con la LAN, puoi probabilmente distribuire la CA autofirmata alle macchine client, il che significa che non ci saranno avvisi qui.
Ovviamente, la gestione dei certificati autofirmati (e la protezione corretta delle chiavi private) richiede esperienza; ma anche i certificati che usano Let's Encrypt.
I've had thoughts about possibly forwarding http traffic over a ssl socket with a shared key, and proxying all of this traffic to a main proxy connection, but I'm unsure if this is actually the way to go.
Suppongo che tu stia parlando di un proxy inverso che dovrà decifrare il traffico TLS. Questo è davvero un approccio che viene utilizzato molto, tuttavia, si presuppone che è necessario crittografare il traffico tra il proxy inverso e l'utente finale, ma il traffico tra il proxy inverso e il back-end è completamente sicuro. Questo non è sempre il caso (cosa ti fa pensare che nessuno abbia trovato un modo per uno dei migliaia di server?), E specifici settori (come i servizi bancari) potrebbero avere leggi o politiche specifiche che rendono obbligatorio crittografare il traffico anche all'interno della LAN .