如果您不使用 HTTPS，而是使用纯 HTTP，则：

• 你会被黑客入侵；信用卡号码在运输过程中会被盗，客户会起诉你被遗忘。
• 无论如何，您都会在某些时候被黑客入侵，这就是很多网站。即使黑客通过其他方式进入，事后分析也会显示缺少 SSL，这看起来很糟糕。
• 你会失去客户。许多潜在客户不会输入他们的信用卡号码，因为缺少令人放心的挂锁图片；他们将改为在竞争对手的网站上购物。

因此，法律并未强制您使用 HTTPS，但如果您不这样做，您的业务将会失败。开放的商业竞争与达尔文的选择很相似：弱者死去。

编辑： @XzKto 的评论表明我还没有完全清楚：当银行值（例如信用卡号）通过 Internet 传输时，实际交易需要 SSL 位。这就是我所说的那个。如果网站记录了付款细节（这样您就可以在不重新输入信用卡号的情况下再次购买），那么“立即购买”按钮也必须受 SSL 保护（以避免攻击者在您的名称）。站点的其余部分不一定需要受 SSL 保护，尽管站点范围的 SSL 通常仍然是一个好主意（这比尝试确定站点的哪些部分必须受到保护以及哪些部分可以省略要简单得多）。

我会继续说。是的，电子商务网站必须使用 SSL。

如果您不使用 SSL，虽然没有人真的会用斧头将您斩首，但在电子商务等网站上使用 SSL 是至关重要的。因此，从某种意义上说，当您的客户帐户被盗或有人开始操纵您客户的会话时，您将遇到很多麻烦，这是强制性的。

为什么要在电子商务网站上使用 SSL？

1. 保护客户的登录信息。
2. 保护您客户的会话不被劫持（cookie 将以明文形式发送）。
3. 保护您的客户不被带到一个完全不同的虚假网站（DNS 欺骗）。

如果您没有帐户信息并通过支付网关处理信用卡信息，那么不，这不是强制性的。如果您知道自己在做什么并跳过一堆非常特殊的障碍，那么完全有可能在没有 HTTPS 的情况下安全地运行电子商务网站。（没有用户名/密码，通过支付网关或 Paypal 进行异地支付，使用订单 #s 进行跟踪等）。在这种情况下，您所要做的就是让人们将他们使用的项目列表放在一起，并将该列表（或总数）发送到安全服务以处理敏感位，然后他们将令牌作为收据发回。

也就是说，你为什么要头痛？即使您正确设置它以避免没有HTTPS的所有可能陷阱，人们也不太可能信任您的网站。使用 HTTPS 更容易，并且非常值得使用自签名或便宜的 SSL 证书。您可以获得两年内低至 60 美元的 SSL 证书（也许更便宜）。确实没有充分的理由不使用 SSL(HTTPS)。

另请注意，要处理信用卡详细信息，作为商家服务协议的一部分，通常强制使用 SSL 进行交换。更具体地说，如果您接触、处理、使用或存储支付卡信息 (PCI)，那么商家服务协议几乎肯定会要求您遵守 PCI-DSS。这就是为什么即使使用 SSL 的店面也可能经常选择使用支付网关来处理信用卡数据的重要原因，因此他们不必担心 PCI-DSS 的细节。

这不是“强制性的”——没有人强迫网站。

但这是可取的。虽然主页/etc ¹不需要在 HTTPS 连接上，但所有具有表单和显示敏感数据的页面都应该是。例如，一个网站可以让您在 HTTP 上购物，但会将您重定向到 HTTPS 以进行结帐。

尝试在登录后为所有页面保留 HTTPS，以防止会话劫持。出于同样的原因，最好将您的 HTTPS 页面保存在单独的域 ( http://example.combut ) 中。https://shop.example.com

否则，只需加密所有内容。这不是太难。

如果没有 HTTPS 连接，您在表单中输入的所有详细信息都将对攻击者可见。

^{1. 不过，这样做可能有一些好处。它可以防止中间人修改安全链接以指向他们自己的 HTTP 站点。}