lo único que harías en el servidor (apache generalmente) es que todas tus páginas .html sean procesadas por php, no veo problemas de seguridad allí.

Eso si, todo archivo .html será procesado por php aún así no tenga bloques php, y aunque no se haga nada se pierden recursos, así que tenlo en cuenta si es que tienes muchos archivos html puros (sin php)

por otro lado existe la técnica de las url amigables, que se le llama también "sobre-escritura de la URL", pero dicha técnica implica que tengas al menos un controlador frontal, el cual es muy usado en FW bajo el patrón MVC, si tienes oportunidad de implementarlo intenta, de igual forma la opción anterior no está mal, saludos