El ISP solo sabrá que visitó la dirección IP asociada con www.website.com
(y tal vez la URL si está usando su DNS y ellos están buscando específicamente el tráfico, si la consulta de DNS no pasa, no lo verán).
(Ten un poco de paciencia, llego a la respuesta).
La forma en que funciona el protocolo HTTP es mediante la conexión a un puerto (generalmente el puerto 80) y luego el navegador web comunica qué página desea al servidor: una simple solicitud para buscar http://www.sitename.com/url/of/site.html
Tendría las siguientes líneas:
GET /url/of/site.html HTTP/1.1
host: www.sitename.com
HTTPS hace exactamente lo mismo, excepto en el puerto 443: y envuelve la sesión TCP completa (es decir, todo lo que se ve en el bit indicado más la respuesta) en una sesión cifrada con SSL, por lo que el ISP no ve nada del tráfico (pero es posible que puedan inferir algo según el tamaño del sitio, y la búsqueda de DNS para resolver www.sitename.com
a una dirección IP en la primera instancia).
Por supuesto, si hay "errores web" incrustados en la página, esto puede dar a los "socios" de los distribuidores de información sugerencias sobre lo que está viendo y quién es usted. De la misma manera, si se rompe su cadena de confianza, un ISP puede actuar. Un ataque de hombre en el medio. La razón por la que puede tener un cifrado privado de extremo a extremo, en teoría, se debe a los certificados de CA distribuidos con su navegador. Si un ISP o gobierno puede agregar un certificado de CA o comprometer a una CA, y ambos han sucedido en el pasado, usted pierde su seguridad. Creo que el Gran Cortafuegos de China efectúa ataques de Man-In-The-Middle para leer datos HTTPS, pero ha pasado un tiempo desde que estuve allí.
Puede probarlo fácilmente con una sola pieza de software que detectará el tráfico que ingresa y sale de su computadora. Creo que un software gratuito llamado Wireshark lo hará por usted.