Danke für die umfangreiche Antwort. Also per Browser muss nicht zugegriffen werden. Nur über eigene Anwendungen/Apps. Bis jetzt also nur .Net und Android bei den Clients.
Mit einer eigenen CA hab ich auch schon geliebäugelt, die scheint durchaus Sinn zu machen. Bei Android können ja eigene Zertifikate in eine App integriert werden. Bei iOS weiß ich nicht, muss ich mich noch damit beschäftigen.
So ein Reverse Proxy wäre auch sowas hier?:
https://github.com/thinktecture/relayserver An dem ist ja phoenix beteiligt, glaube ich.