Tor e HTTP / SSL são camadas de segurança separadas . O SSL pode ser quebrado mesmo que o Tor esteja funcionando.
Lembre-se de que o nó de saída em um circuito Tor sempre vê os dados que você está transferindo. Se você não estiver usando SSL, a conexão não será segura e seu tráfego poderá ser lido em qualquer lugar entre o nó de saída e o servidor HTTP. (Eu até vi nós de saída injetando anúncios JavaScript em páginas visitadas.)
Quanto ao https://start.xerobank.com
, ele está usando um certificado SSL que expirou em junho de 2010, mas é um certificado legítimo emitido pela GoDaddy. Se apareceu apenas recentemente, você deve suspeitar de problemas no próprio servidor da Web.