Обычно всегда.
Сертификат X.509 гарантирует, что канал защищен = только ваша служба может прочитать входящее имя пользователя и пароль (до тех пор, пока сертификат не будет украден).
В случае WCF вынеобходимо настроить сертификат для защиты сообщений, поскольку сертификат для безопасности транспорта (HTTPS) настраивается вне WCF на уровне операционной системы (через netsh.exe или IIS).
Если вы не используете сертификат, вы не будетеЗащищенный канал и ваше имя пользователя и пароль будут передаваться по сети в виде простого текста - любой, кто получит ваши переданные пакеты, сможет использовать украденные имя пользователя и пароль.
WCF по умолчанию не позволяет отправлять имя пользователя и пароль по незащищенному каналу - для этого необходимо создать пользовательскую привязку.