Das gleiche Thema beschäftigt mich auch gerade.
Um die Zertifikate musst du dich nicht kümmern, das macht IPv64.net für dich - gibt dann halt verschiedene Zertifikate, je nachdem ob du über IPv6 oder IPv4 aufrufst.
Zum „Fallback“: nach meiner Beobachtung gibt es leider noch viel zu viele (W)LANs, die nur V4 bieten. Viele mögen es nicht mehr sein, aber wie es Murphys Gesetz will, steckt man immer gerade dann in einem, wenn der Zugriff auf die Webseiten notwendig ist…
Ich habe hier recht ausführlich beschrieben, was du alles wie einrichten musst, um dein Vorhaben umzusetzen. Aktuell ist mir leider kein Weg bekannt, dass für die 4. Domainebene umzusetzen, brauchst also für jeden Dienst eine eigene Subdomain im Portal.