Eu sei deesta discussão quais ataques são possíveis quando CURLOPT_SSL_VERIFYHOST está desabilitado. Gostaria de saber quais ataques são possíveis quando VERIFYPEER, não _VERIFYHOST, está desativado. É um risco aceitável para pagamentos com cartões de crédito?

(a razão que eu pergunto é porque minhacódigo funciona apenas com _VERIFYPEER desativado, embora ninguém pareça saber por quê)