Java kan definitivt upprätta en SSL-anslutning utan att en klient validerar serverns certifikatkedja.
Klasserna som upprättar anslutningen (javax.net.ssl-klasser) skulle normalt behandla det overifierade servercertifikatet med misstänksamhet och skulle misslyckas med handskakningen.
Men de tillhandahåller ett sätt för användarna av dessa klasser att faktiskt säga "Det är ok om serverns certifikat inte valideras, fortsätt och upprätta anslutningen".
Det är vad som händer när du säger verifyServerCertificate=false.
SSL-anslutningen är helt giltig ur ett kryptografiskt perspektiv men det är inte en autentiserad anslutning eftersom du inte har någon aning om vad källan till servercertifikatet är.