Un SSL usa un protocolo cifrado para las distintas conexiones que se hacen. De tal manera que si capturamos esos paquetes mediante un sniffer, estos irán cifrados. Punto.

Evidentemente esto no garantiza más de lo que es, un protocolo criptográfico.
Que si la web hace con tus datos lo que quiera, si las contraseñas de los usuarios no están cifradas o si los datos de acceso a mysql es user: root y pass vacío es un punto a parte. No nos volvamos todos tontos de golpe.