Java peut certainement établir une connexion SSL sans qu'un client ne valide la chaîne de certificats du serveur.
Les classes qui établissent la connexion (classes javax.net.ssl) traiteraient normalement le certificat de serveur non vérifié avec suspicion et échoueraient à la poignée de main.
Mais ils fournissent un moyen pour l'utilisateur de ces classes de dire en fait "Ce n'est pas grave si le certificat du serveur ne valide pas, allez-y et établissez la connexion".
C'est ce qui se passe lorsque vous dites verifyServerCertificate=false.
La connexion SSL est parfaitement valide d'un point de vue cryptographique mais ce n'est pas une connexion authentifiée car vous n'avez aucune idée de la source du certificat du serveur.
