Problèmes de sécurité
Pour autant que je comprends, la seule vulnérabilité se produit lorsqu'un utilisateur se connecte ou s'inscrit à partir d'un réseau non crypté (comme un café) et que quelqu'un écoute le réseau.
Ce n'est pas vrai, les données transmises entre l'utilisateur et votre site web ne sont jamais en sécurité. À titre d'exemple, http://www.pcmag.com/article2/0,2817,2406837,00.asp détaille l'histoire d'un virus qui a changé les paramètres DNS des gens. Quelle que soit la qualité de la protection de votre réseau actuel, toute soumission sur Internet passe par de nombreux serveurs différents avant d'arriver au vôtre. N'importe lequel d'entre eux peut être malveillant.
Les certificats SSL vous permettent de crypter vos données dans un cryptage à sens unique qui ne peut être décrypté que sur votre serveur. Donc, peu importe où les données sautent sur leur chemin vers votre serveur, personne d'autre ne peut lire les données.
Dans la plupart des cas, et cela dépend de votre hébergement, l'installation d'un certificat est plutôt indolore. La plupart des fournisseurs l'installeront pour vous.
Types de certificats SSL
Comme indiqué dans certaines réponses, vous pouvez créer vos propres certificats SSL. Un certificat SSL n'est qu'un appariement de clés publiques et privées. Votre serveur donne la clé publique, le client l'utilise pour crypter les données qu'il envoie et seule la clé privée sur votre serveur peut la décrypter. OpenSSL est un bon outil pour créer le vôtre.
Certificats SSL signés
L'achat d'un certificat auprès d'une autorité de certification ajoute un autre niveau de sécurité et de confiance. Encore une fois, il est possible que quelqu'un puisse s'asseoir entre le navigateur client et votre serveur Web. Ils auraient simplement besoin de donner au client leur propre clé publique, de décrypter les informations avec leur clé privée, de les rechiffrer avec votre clé publique et de vous les transmettre et ni l'utilisateur ni vous ne le sauriez.
Lorsqu'un certificat signé est reçu par l'utilisateur, son navigateur se connecte au fournisseur d'authentification (Verisign, etc.) pour valider que la clé publique qu'il a reçue est bien celle de votre site Web et qu'il n'y a pas eu de falsification.
Donc, oui, vous devriez avoir un certificat SSL signé pour votre site. Cela vous donne une apparence plus professionnelle, donne à vos utilisateurs une plus grande tranquillité d'esprit dans l'utilisation de votre site et, surtout, vous protège contre le vol de données.
Plus d'informations sur l'attaque Man In The Middle qui est au cœur du problème ici.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack