Absolutamente.
El que está olfateando la red puede ver una consulta de DNS (si el servidor autorizado se encuentra dentro de la red de destino). Esa es la pista # 1.
El sniffer también ve el certificado solicitado por usted (el cliente). Esto es parte del apretón de manos TLS. El certificado certifica (duh) que todo el intercambio de datos está sucediendo realmente con foo.com. Esta relación se expresa a través de SNI (Indicación del nombre del servidor).
Entonces, una vez que esto suceda, todos los datos a nivel HTTP están encriptados.
Recuerde la pila de red OSI. La capa de sesión es la capa 5, luego viene la capa de aplicación (HTTP). Todos los datos más allá de la Capa 5 están encriptados.
Lea otras preguntas en las etiquetas authentication tls http dns