Se riesci a tollerare lo stile PR-heavy di cloudflare, https://blog.cloudflare.com/cloudflare-onion-service/
In generale il problema e' che servire applicazioni moderne (tipo mastodon) su http liscio tende ad essere problematico (che so, piccolo esempio, ora come ora l'HS http di bida serve il cookie di sessione con secure=true, e non funziona).
Alt-svc consente invece il riutilizzo del certificato SSL del sito "pubblico". E' una buona soluzione per i siti HS non segreti.