什么是SSL，我不从学术角度简单的解释下：

通常你浏览http://www.163.com这个域名的网站的时候（注意！是http://），你与这个网站的数据交互是明文传输的，假如这个网站有你帐号的登录入口，那么你在客户端填写的登录用户名和密码也是明文传输到服务器端，（什么是明文我再插播一下，就是类似文本数据包，可以看到里面的实际传输内容）如果你的电脑中了木马或者163服务器中了木马，截获了这个传输包，你的用户名密码就被他看到了。

而你浏览了https://www.163.com这个域名的时候（注意！是https://），你与这个网站的数据交互经过加密了，我不解释SSL证书有关的问题，只要你知道数据被加密，黑客即使截获了数据包也看不到用户名和密码就可以了，这就保证了数据在传输过程中的安全性。

那网店是不是一定需要SSL呢？首先SSL证书需要向颁发机构购买的，否则你自己给自己办法的证书客户端浏览器不支持会出现办法机构不可信任的提示。你如果要购买SSL证书，不仅要支付证书费用还要独立IP（SSL证书必须搭配独立IP），而这个投资根据上面的原理你是要保护什么呢？你投资保护了你的客户的帐号信息，也就是客户登录你的网店的用户名、密码等信息，而客户在实际购买的时候，使用Paypal的话，网页就跳到了Paypal网站，这时候Paypal负责保护客户的支付帐号信息（最重要的信息不是由你保护的，是Paypal！）同样如果使用3D VISA网关支付，也跳到了银行的支付界面，填写信用卡支付信息，这个信用卡的最重要的信息是银行接口负责保护的，和你是否使用SSL无关！不知道是否能明白，总之你无论是否增加SSL功能，都和客户的支付账户信息无关！这些数据不是在你的网站里填写的！所以结论是：你可以不需要SSL!
那有人问了，难道客户在你网店的登录帐号资料就不重要了么？如果你舍得投资当然加入SSL功能最好，如果不舍得也没什么大不了。客户登录你网店的帐号密码只能是在客户的电脑里有黑客植入的木马的情况下才被盗的，而大部分木马都不用截获传输包，直接从客户input键盘行为中记录了登录帐号，这完全就和你网站无关了。

什么情况下你的网店必须SSL呢？客户的支付帐号最重要，例如VISA卡卡号和相关个人资料，如果你网站购物车中集成了内置VISA输入接口，你必须加SSL功能使卡资料传输加密。而这样的店通常都是很大很有实力的店，国内的店我还没发现能申请到内部集成VISA输入接口的。

另外一提的是，集成了SSL证书加密了通信，会影响客户浏览网站的速度，访问量大的时候对服务器负担也很重，这是SSL的弊端。所以，真正的负责任的集成SSL是只是在客户输入交互的页面集成(https://,例如用户注册的登录功能)，而浏览显示内容的页面不需要SSL，就是http://,这样能有效的缓解服务器负担和加快访问浏览速度！