l’URL est partagée en clair sur le réseau, avec ou sans HTTPS. Ça a toujours été le cas. Le HTTPS ne chiffre que le contenu des pages.

Non.

Une requête HTTP est constituée :

• D'une request line (qui contient le nom d'une méthode, le nom d'une ressource et la version du protocole)
• D'en-têtes
• D'une ligne vide
• Du corps de la requête (optionnel)

En HTTPS tout, là dedans, est chiffré car la session TLS démarre avant la requête.

Idem pour la réponse, la status line les en-têtes et le corps sont aussi chiffré dans la session TLS.

Il n'y a que le nom d'hôte qui transite en clair, ce qui est obligatoire pour savoir chez qui ouvrir la session TLS.

Et ça n'est pas spécifique au Web, mais aussi au reste : emails, tchat, etc. Quand il y a une session TLS impliquée, il n'y a que le nom d'hôte qui transite en clair.
— Permalink