Die Lösung wäre, die ESP nicht nach /boot einzubinden, sondern nach /boot/efi. Dann missbrauchst du die ESP nicht als /boot-Partition.
Für /boot bräuchtest du dann entweder zwei Partitionen oder du lässt /boot auf der Partition mit dem Wurzelverzeichnis im verschlüsselten LUKS-Container. Meines Wissens sollte Grub mittlerweile auch teilweise mit LUKS2 umgehen können.
Und wenn /boot unverschlüsselt ist, musst du darauf achten, dass du keine Schlüssel im initrd hast, sonst kannst du dir die Verschlüsselung auch gleich sparen.