Ich kann dir eigentlich für dein Vorhaben, fast nur einen HAProxy empfehlen der simples SSL-Offloading (<- Stichwort) erledigt.
Heißt deine Applikation lauscht nur auf 127.0.0.1 und ist demnach auch nur durch den HAProxy erreichbar nach aussen. Dafür macht der HAProxy dann auch so spielereien wie ich leitet 80 auf 443 weiter und wenn kein 443 dann gibts halt nix. Dann kommen noch so Sachen wie schnelles http/2 und Content Security Policy dazu und der Kuchen ist gegessen. Sobald HAProxy stirbt musst du dir halt keine Sorgen um irgendwas machen, weil defakto dann nix erreichbar ist nachdem alles auf 127.0.0.1 lauscht.
Hab aber leider auch keinen Vergleich wie NGINX als Proxy abliefert nachdem ich dem Linux Schema folge und nur einen Dienst für eine Sache nutzte. Mir ist es quasi wurscht ob NGINX das könnte, er kann das was er kann Webserver spielen. HAProxy wiederum kann kein Webserver (in der Theorie schon, aber lua ist einfach hässlich), wurde aber gerade für so Sachen wir Load Balancing und Offloading gebaut.