Если провайдер отвечает только за VPS, то он будет видеть только HTTPS трафик до конечного сервера и может попробовать атаковать его.
Если у этого же провайдера находиться и конечный сервер, то что мешает провайдеру так же расшифровать трафик имея ключи?
Вообщем HTTPS трафик идет до целевого сервера и ему без разницы, проходит он через WiFi, VPN или еще как.
Единственная возможность прослушки это HTTPS прокси, но для этого, на сколько я знаю, необходимо локально установить сертификат прокси.