セキュリティ上の懸念
私が理解している限り、唯一の脆弱性は、ユーザーが暗号化されていないネットワーク(コーヒーショップなど)からログインまたはサインアップし、誰かがネットワークをリッスンしているときに発生します。
これは真実ではありません。ユーザーとあなたのウェブサイトの間で送信されるデータは決して安全ではありません。例として、http://www.pcmag.com/article2/0,2817,2406837,00.aspは、人々のDNS設定を変更したウイルスの詳細が記載されています。現在のネットワークがどれほど良好に保護されていても、インターネット上で送信されたデータは、多くの異なるサーバーを経由してから送信されます。それらのいずれかが悪意のある可能性があります。
SSL証明書を使用すると、サーバーでのみ復号化できる一方向暗号化でデータを暗号化できます。そのため、データがサーバー上のどこに移動しても、他の誰もデータを読み取ることができません。
ほとんどの場合、これはホスティングに依存しますが、証明書のインストールは簡単です。ほとんどのプロバイダーがインストールします。
SSL証明書タイプ
いくつかの回答で述べたように、独自のSSL証明書を作成できます。SSL証明書は、公開鍵と秘密鍵のペアにすぎません。サーバーは公開鍵を提供し、クライアントはそれを使用して送信するデータを暗号化し、サーバー上の秘密鍵のみがそれを解読できます。OpenSSLは、独自に作成するための優れたツールです。
署名済みSSL証明書
認証局から証明書を購入すると、別のレベルのセキュリティと信頼が追加されます。繰り返しになりますが、クライアントブラウザーとWebサーバーの間に誰かが座っている可能性があります。クライアントに独自の公開鍵を与え、秘密鍵で情報を復号化し、公開鍵で再暗号化して、ユーザーにもユーザーにも知らないように渡すだけです。
ユーザーが署名付き証明書を受け取ると、ブラウザーは認証プロバイダー(Verisignなど)に接続して、受け取った公開キーが実際にWebサイトのものであり、改ざんされていないことを検証します。
したがって、はい、あなたはあなたのサイトのために署名されたSSL証明書を持っている必要があります。それはあなたをよりプロフェッショナルに見せ、ユーザーにあなたのサイトを使う心を与え、そして最も重要なことはデータ盗難からあなたを守ります。
ここで問題の核心である中間者攻撃に関する詳細情報。
http://en.wikipedia.org/wiki/Man-in-the-middle_attack