HTTPS настроить можно на самоподписаных сертификатах, которые надо принимать на стороне клиентов, но не понятно зачем, т.к. потенциальных недостатков это приносит больше, чем преимуществ (преимуществ нет, если только вы не хотите делать аутентификацию клиента на основе сертификата, что странно для анонимности, т.к. у клиента должен быть артефакт в виде сертификата).
Настроить публичные сертификаты так же теоретически можно, несколько публичных CA
предлагают возможность получить EV-сертификат для .onion, но даже они предупреждают что это против здравого смысла, т.к. публичность является противоположностью анонимности, ради которой .onion-сайты создаются.