ich würde die Updates gleich über SSH regeln (Public Key Encryption statt Passworten);

Klingt wie eine gute Idee. Ist definitiv auch eine.

Anmerkungen:

1.) Aber in dem Fall, das später eventuell andere Mechanismen unterstützt werden sollen (z.b. wenn lokale Fritzboxen den Internetzugang für die Rechner herstellen) sollte man die Idee mit dem HTTP[S] unbedingt im Auge behalten, weil die Boxen natürlich "wissen", wann die einen Reconnect ausgeführt haben. Das macht andere schwierig einzurichtende und weniger perfekte Mechanismen (cronjobs) obsolet.

2.) Wenn per ssh, dann aufpassen: Auf dem DynDNS-Server einen sehr rechtlosen Benutzer einrichten, der das Skript zum Ändern des DNS-Eintrages gleich als Shell hat...