el problema es que en http la estructura del paquete es muy simple, todo se envia junto como usa sola cosa, incluyendo cabeceras (que incluye la cabecera host y el uri) y https crea un tunel en la capa de datos donde van... bueno los datos...


tienes 2 vias para saber los datos contenidos ahí...

1- haces un proxy en la "puerta de salida" de la red y les dices a todas las personas "ahora todas las paginas van a mostrar "esta conexión no es segura" porque estamos viendo todos sus datos... esto te permitirá usar el proxy como un lugar para decodificar todo y leer (como si fuera http), pero a su vez las paginas pierden el certificado de seguridad... esto puede traer problemas con paginas con HSTS configurado (como cualquier pagina decente) porque el navegador no poermitirá acceder a la pagina porque la conexión fue "hackeada"

2- tener suerte que la gente no se haya conectado poco antes y cuando se conecte al servidor el primer mensaje será un mensaje de protocolo TSL que llamamos "Cliente Hello" en este es donde el cliente le pide al servidor el acuerdo comun del cetificado de seguridad y para ello manda en texto claro el nombre del host... esto es un solo mensaje y de allí en mas te toca rastrear la ip destino y puerto origen para confirmar que el resto de paginas accedidas son a ese mismo host...