"Cifrar" es diferente de "codificar". BASE64 no es un algoritmo de cifrado.
ViewState contiene información "binaria": información que es más que simple texto. Como no puede (o no debe) tener información binaria las etiquetas HTML META o las cookies HTTP, los datos binarios se han codificado en un formato de texto. La codificación BASE64 es una opción popular, por lo que es la codificación hexadecimal simple.
Tenga en cuenta que la variable ViewState también está codificada en ASN.1. Contiene numerosos campos de longitud variable, que están "etiquetados" con información de tipo y longitud codificada.
Dentro de todo eso, la variable ViewState contiene información criptográficamente segura, como los ID de sesión, que son resistentes a la manipulación, por lo que los piratas informáticos no pueden manipular los ID de sesión de una persona para piratear la sesión de otra persona. Es por eso que ves decodificadores de ViewState: a veces los operadores de sitios web no usan los primates criptográficos correctos y exponen los elementos internos de Viewstate a la manipulación por parte de piratas informáticos.
Como han dicho otras respuestas, SSL solo cifra el tráfico en el cable de la red, de modo que las personas no puedan escucharlo. Obviamente, tiene que ser descifrado en su lado para que su navegador pueda renderizar la página, y en el lado del servidor cuando crea la página.