Wenn deine Anwendung nur in einem lokalen Netz erreichbar sein soll, dann wird auch alles, was irgendwie auf *.localhost endet, als sicher betrachtet. Du könntest deinen Server also unter
http://wuppdi.localhost erreichbar machen - dann brauchst du kein SSL/TLS und bist das ganze Thema los.
...
Vielleicht sind da ja mal ein paar hilfreiche Stichworte dabei.
Also auch, wenn ich nicht der Fragesteller war, mir hat's geholfen. Wieder was gelernt, danke! Secure Context mit *.localhost kannte ich noch nicht.