Müssen - nö, warum auch sensible Kundendaten verschlüsselt übermitteln. SSL sorgt dafür das Kundendaten an deinen Shop vom Browser des Kunden aus verschlüsselt werden und so hoffentlich die NSA und Co. (vor allem aber abzocker) nicht diese Daten bekommen.
Müssen musst du das nicht aber man sollte es haben. Bekommst von deinem Hoster meistens. Wäre jedenfalls die einfachste Art. Die meisten guten Webspace Tarife haben bereits ein Zertifikat mit im Paket. Das SSl bewirkt dann das du im Browser das Schloss und das https bekommst sobald Kundendaten / Checkout Seiten aufgerufen werden.
Da gibt es verschiedene Möglcihkeiten. Einige Hoster bieten z.B. Proxy-SSL an. Das ist meist kostenlos, hat aber einen Nachtei: Die betreffende Seite (z.B. create_account.php) wird von deine_domain.tld auf dein_hoster_proxy-ssl/deine_domain.tld. Das verunsichert kunden eher als dass es vertrauen schafft. Das bessere ist ein eigenes Zertifikat. Die meisten Hoster haben so etwas als Zubuch-Option. Es gibt aber auch kostenlose im Netz. Da müsstest Du aber Deinen Hoster fragen, ob er Dir das einbaut und was der Einbau dann kostet.