La risposta è no, non possono, ma sì, possono.
Devi accettare che ci sia un sì e un no a questa domanda, SSL dovrebbe proteggere la tua comunicazione dallo spionaggio anche da un ISP ma se un ISP volesse fare qualcosa di simile a un MitM, potrebbe farlo con una buona dose di facilità, ma lo metto su "cose simili" ....
Riesaminare SSL Il client e il server web scambiano i certificati che sono normalmente firmati da una terza parte per verificare che il server Web a cui si è connessi sia quello autentico. Questo controllo SSL serve a garantire che tu sia connesso al server reale e non a un utente malintenzionato, questa regola si applica a un attacco MitM anche se fatto da un ISP dovresti trovarti su una connessione non sicura (http, porta 80, ecc.) Per essere in grado di leggerlo Le regole che si applicano al resto del mondo si applicano a un ISP che non hanno davvero alcun potere speciale, solo forse più risorse e un punto tattico migliore nell'infrastruttura di rete. quindi se sei su https il tuo traffico è crittografato e non può essere letto.