certains protocoles ne sont pas "sécurisés", comme pop3 ou ftp, de ce fait, en sniffant, tu auras les mots de passes.
Si tu veux voir en clair une trame https, tu peux le faire, mais il faut soit faire un MITM , soit avoir la clé privée qui sert pour la communication.
tu as pas mal d'outil pour faire ça, meme wireshark peut le faire, faut bouffer un peux d'hexa, mais le principal problème est l'obtention de clé privée. chose quasiment impossible pour des certificats "public" ( quoique...), mais beaucoup plus facile si selfsigned.
quand tu lances un trace wireshark sur une conversation https, tu verras que ton traffic passe en TLS après l'établissement de la session SSL.
au niveau des couches réseaux, tu n'est pas au meme endroit : le ssl est application independant, ce qui te permet de faire passer ce que tu veux ( ou presque!) dans ce "tuyau"