Consequências de segurança da desativação de CURLOPT_SSL_VERIFYPEER (libcurl / openssl)
Eu sei deesta discussão quais ataques são possíveis quando CURLOPT_SSL_VERIFYHOST está desabilitado. Gostaria de saber quais ataques são possíveis quando VERIFYPEER, não _VERIFYHOST, está desativado. É um risco aceitável para pagamentos com cartões de crédito?
(a razão que eu pergunto é porque minhacódigo funciona apenas com _VERIFYPEER desativado, embora ninguém pareça saber por quê)