Java kan helt sikkert etablere en SSL-forbindelse uden en klient, der validerer serverens certifikatkæde.
Klasserne, der etablerer forbindelsen (javax.net.ssl-klasser), ville normalt behandle det uverificerede servercertifikat med mistanke og ville mislykkes i håndtrykket.
Men de giver brugerne af disse klasser en måde at sige "Det er ok, hvis serverens certifikat ikke valideres, fortsæt og opret forbindelsen".
Det er, hvad der sker, når du siger verifyServerCertificate=false.
SSL-forbindelsen er perfekt gyldig fra et kryptografisk perspektiv, men det er ikke en godkendt forbindelse, fordi du ikke aner, hvad kilden til servercertifikatet er.