ウェブサーバの前に外部のロードバランサーを追加する場合、TLSの鍵と証明書をロードバランサーに預けてTLSを終端してHTTPとして転送する方法と、終端せずにTCPとして転送する方法がある。

TCPレベルの方はロードバランサーが通信内容を盗聴できないように見えるが、実際にはロードバランサーはLet's Encrypt等を使って証明書を発行できるはずなので中間者攻撃が可能なはず。

もちろん、その場合は証明書が異なるものになるので、いずればれるという違いはある。