Java z pewnością może nawiązać połączenie SSL bez klienta weryfikującego łańcuch certyfikatów serwera.
Klasy, które nawiązują połączenie (klasy javax.net.ssl) zwykle traktują niezweryfikowany certyfikat serwera z podejrzliwością i nie powiodą się uzgadnianie.
Ale zapewniają one sposób, w jaki użytkownik tych klas może powiedzieć „W porządku, jeśli certyfikat serwera nie zostanie zweryfikowany, śmiało nawiąż połączenie”.
To się dzieje, gdy powiesz VerifyServerCertificate=false.
Połączenie SSL jest całkowicie poprawne z perspektywy kryptograficznej, ale nie jest to połączenie uwierzytelnione, ponieważ nie masz pojęcia, jakie jest źródło certyfikatu serwera.
