Javaは、クライアントがサーバーの証明書チェーンを検証しなくても、SSL接続を確実に確立できます。
接続を確立しているクラス(javax.net.sslクラス)は通常、未確認のサーバー証明書を疑って扱い、ハンドシェイクに失敗します。
ただし、これらのクラスのユーザーが実際に「サーバーの証明書が検証されなくても問題ありません。先に進んで接続を確立してください」と言う方法を提供します。
これが、verifyServerCertificate=falseと言うときに起こっていることです。
SSL接続は暗号化の観点からは完全に有効ですが、サーバー証明書のソースがわからないため、認証された接続ではありません。