Deverás ter em conta algo: O certificado SSL em nada te protege contra vulnerabilidades da aplicação. Serve apenas para que, os dados que o cliente insere no seu computador, circulem na rede pública encriptados, sendo desencriptados no servidor de destino ( e vice-versa) . Existindo falhas na aplicação, é igualmente simples utilizá-las numa ligação com ou sem SSL.
Posto isto, saberás se os dados que farás circular sobre a rede, são ou não de importância crítica se extraviados. Por isso se associa o conceito de "cartão de crédito" às ligações SSL, já que é aquele tipo de dados de elevado valor. Se não tiveres esse tipo de situações, será a considerar se, a perda de performance inerente à utilização de SSL, justifica a protecção dos dados (e, se possível, descrevê-lo na política de privacidade).