Naja ich kann nicht gewährleisten dass zwischen Client und meiner Applikation die Daten verschlüsselt sind
Doch, das kannst du über die URL prüfen. Das Protokoll wird zwischen nginx und deiner App ausgetauscht.
weil sie unverschlüsselt bei mir ankommen (und auch unverschlüsselt losgesendet werden müssen)
Die Daten liegen früher oder später unverschlüsselt im RAM, da wirst du auf keinem System und keiner Architektur 'drum herum kommen.
Verkehr auf dem Loopback Device wird eigentlich nicht gesendet. Es handelt sich hierbei um Shared Memory, der vom Kernel verwaltet wird, auf ein und der selben Maschine. Irgendwann muss ein Datum unverschlüsselt im RAM liegen, um verarbeitet zu werden. Ob das nun in der Applikation selbst ist, oder im Shared Memory Space durch das Loopback Interface spielt hierbei keine Rolle. Du hast durch eine Kryptierung von Datenverkehr über ein Loopback Device keine Vorteile.
Du holst dir eher noch den Supergau rein. Um nämlich verschlüsseln zu können, muss deine Applikation Zugriff auf einen privaten Schlüssel haben, der auch irgendwo im Dateisystem liegt. Lässt du aber nginx verschlüsseln, so muss die gesamte Maschine übernommen werden, um an den privaten Schlüssel zu kommen.
Als Nutzer im Webhosting kannst du nämlich keinen Privilege Drop machen.
Ich hoffe du erkennst, dass du hier Unfug erzählst.
Solltest du dir aber wirklich so große Sorgen um Sicherheit machen, ist ein shared Webhosting allerdings nicht das Richtige für dich. Hier solltest du dich nach richtigen Servern umsehen.