Un certificat est valable pour un nombre défini de domaines, le domaine racine, et tous les sous-domaines pour lesquels tu demandes un certificat.
Si tu fais un certificat qu'on appelle wildcard (astérisque), pour un domaine ndd.tld, tu valides tous les sous-domaines possibles via *.ndd.tld
Synology propose nativement cette possibilité pour son nom de domaine. Donc si ton DDNS Synology c'est toto.synology.me, un certificat wildcard validera tous les sous-domaines *.toto.synology.me
Si tu utilises un proxy inversé pour accéder à ta machine virtuelle, tu peux très bien utiliser un seul et même certificat wildcard.
Tu peux suivre cette procédure : https://mariushosting.com/synology-how-to-add-wildcard-certificate/
Ainsi ton proxy inversé exposera le même certificat pour accéder à l'ensemble de tes services.
Le port 443 est le port par défaut pour HTTPS, quand tu viens sur ce forum tu viens en fait sur nas-forum.com:443, mais il n'apparaît pas car implicite.
Même chose avec le port 80 pour HTTP.
D'où le côté commode d'utiliser ce port quand on le peut.