Александр

Да. Все верно.

Единственное что добавлю, пересылать токен лучше в заголовках. Причем желательно, поскольку механизм аутентификации нестандартный, в заголовке X-Authorization. Если вы решите хранить токен в куках и передавать его, это желательно должны быть http-only куки (хотя в случае JWT не обязательно) и на сервере должна быть защита от CSRF атак.

Так же поскольку у нас по сети гуляют по сути креденшелы, важно использовать SSL. Благо сегодня есть lets-encrypt что бы бесплатно получить сертификаты.

И последнее, что бы обезопасить себя еще, используйте refresh-токены. То есть наш уникальный токен который гуляет в каждом запросе будет иметь ограничение по времени жизни (скажем 5 минут) и для его обновления мы будем использовать refresh-токен. При получении refresh токена клиенту уходит новая пара токен + refresh-токен.

Таким образом у злоумышленника который перехватил токен пользователя будет окно всего в 5 минут что бы что-то сделать.

Ура! Вопрос решен!
Проблема была в неправильной установке сертификата.
Помогла статья habrahabr.ru/post/270273 и онлайн сервис https://www.ssllabs.com/ssltest/index.html

Вкратце, в файле /etc/httpd/conf.d/ssl.conf были исправлены строки на:
SSLProtocol TLSv1.2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4
SSLCertificateFile /etc/letsencrypt/live/mydomain.tk/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.tk/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mydomain.tk/chain.pem
SSLCACertificateFile /etc/letsencrypt/live/mydomain.tk/fullchain.pem

После чего ssllabs.com показал рейтинг A- и бот тут же заработал!

Жаль, что Telegram ни как не сообщает об этой ошибке и в руководстве я этого не нашел. Хотя могли бы через своего бота @FatherBot сообщать владельцу о проблемах...