您问的是 https，而不是 tor，这是一个不同的问题，所以我将解决 https 部分。

有很多信息以明文形式发送以设置 https 会话。可能最明显有用的是客户端发送支持的密码套件、密码首选项和客户端支持的 SSL 版本。密码套件支持在主要浏览器之间差异很大，甚至在同一浏览器的版本之间也会有所不同。出于这个原因，广泛地识别用户正在使用的浏览器（即 Chrome、Firefox）是微不足道的，并且在许多情况下将其缩小到浏览器的一系列版本。例如，Internet Explorer 只有几个版本，因此识别正在使用的版本很简单。

IP 地址往往会长期存在。假设您有 3 个人使用相同的 IP 地址，即 Alice、Bob 和 Charlie。Alice 使用 Internet Explorer，Bob 使用 Firefox，Charlie 使用 Chrome，如果您确定了 IP 地址，那么区分哪个用户正在访问安全网站会相对简单。

此外，客户端还发送日期和时间信息。这在对客户进行指纹识别时也可能非常有用。

总而言之，我想说的是，至少有一些指纹识别可以通过 SSL 完成，而只需被动侦听。

简短的回答是否定的。首先，人们普遍认为他们可以阅读 HTTPS 内容。链接： 美国国家安全局几乎可以击败任何类型的加密

如果您对指纹识别感兴趣，请访问http://panopticlick.eff.org - 您会看到您的扩展、插件、字体等的组合，都是您浏览器指纹的一部分。

即使使用 VPN，该信息也会在您访问时显示在服务器日志中。这不会提供您的 IP 地址（和位置），除非您也访问相同的服务器，而无需使用 VPN，甚至只使用一次。一旦你这样做了，他们就可以将指纹与你的位置相关联。

在 Tor 上，一定要使用TAILS，这对每个人都是一样的。

顺便说一句，美国国家安全局和联邦调查局不是你的主要威胁。需要担心的人是服务器运营商，以及其他可能在您使用 WiFi 时尝试嗅探 WiFi 的人。

要避免的两种最危险的服务器是赌博和色情。这些网站是您最有可能感冒的地方——即安装恶意软件的路过。

使用MalwareBytes运行定期扫描始终是一个好主意，以确保您在网络上旅行时不会感染细菌。

HTTPS 非常棒，因为它可以防止嗅探器在您在星巴克或机场工作时进入您的业务。最好在 Chrome 中使用HTTPS-Everywhere 扩展，以确保即使您忘记在 URL 中输入 https:// 也能使用它。

如果您担心您的 ISP 知道您正在访问哪些网站，请不要使用他们的 DNS 服务器。 Comodo Secure DNS非常好用，要使用它，您只需使用 8.26.56.26 和 8.20.247.20 作为您的 DNS 服务器。或者您甚至可以在 8.8.8.8 和 8.8.4.4 使用 Google 的 DNS 服务器

我强烈建议使用这些替代方案之一。我使用 Comodo，因为它们也会标记恶意内容。

如果您真的担心 NSA，请阅读Bruce Schneier 的这篇关于保持安全的文章 - 请注意他在这篇文章中的副标题： “NSA 具有巨大的能力 – 如果它想要进入您的计算机，它就在其中。请注意，这里有五种保持安全的方法。”

我的建议是确保您不会成为 FBI、CIA、DHS、NSA、DIA 或任何 TLA（三字母机构）的目标。

因为，正如 OP 中所说，我们在日常生活中只是沧海一粟。但永远不要忘记，最高的树是最先被砍伐的木材。或者最高的钉子首先被锤击。无论你喜欢哪个比喻。我喜欢谷歌首先说的：不要作恶。