Exactement : du client au reverse proxy on fait de l’https et derrière le reverse proxy on est en filaire et on peut se permettre de faire de l’http (quoique…). Un autre avantage (avec le paramétrage adéquat de redirection DNS etc.) est de n’avoir à paramétrer qu’une URL et de pouvoir s’y connecter depuis internet et depuis son réseau local sans distinction ou changement de paramétrage (très pratique sur un smartphone qui peut basculer très facilement de la 4g au wifi).
Je pense qu’il faut considérer le wifi comme une prise Ethernet accessible depuis la rue, donc je lui applique des restrictions similaires à l’internet (restrictions de ports, redirections strictes de machine connue à machine connue etc.)
C’est mon point de vue, que vous pouvez trouver paranoïaque mais nous divergeons du sujet JPI 
Est-ce que JPI peut pointer sur autre chose qu’une IP dans le cadre d’une communication HTTPS ?
Dans le cas contraire, il faut obligatoirement passer par un certificat autosigné sur Jeedom ?
Je crois savoir que certains OS/navigateurs peuvent refuser complètement de se connecter en https sur un serveur présentant un certificat autosigné.
C’est aussi un risque sur android un jour non ?