Хороший ответ от https://paragonie.com/blog/2017/10/certainty-automated-cacert-pem-management-for-php-software#verify-peer
Что произойдет, если вы отключите CURLOPT_SSL_VERIFYPEER? Если вы отключите
эта проверка, вы отказываетесь от центра сертификации
инфраструктура, а это значит, что вы решили слепо принимать
самозаверяющие сертификаты.
Это подвергает вас чрезвычайно тривиальным атакам типа «человек посередине». Все
перехватывающий прокси должен предложить самозаверяющий сертификат
и PHP будет доверять ему, но только если вы отключите это.
В современной экосистеме единственная реальная причина использовать это, если вы
используя CURLOPT_PINNEDPUBLICKEY и по какой-то причине не может использовать
LetsEncrypt.
Вы должны оставить его включенным и убедиться, что на любых сайтах, которые вы используете, есть хорошие сертификаты от доверенного центра сертификации (например, платный или бесплатный сертификат от LetsEncrypt)
Настройка актуального файла о том, какие сертификаты должны быть действительными и доверенными, может быть выполнена на уровне приложения. Более подробно в этой ссылке выше, и есть проект с открытым исходным кодом, который делает это тем же автором поста: https://github.com/paragonie/certainty
Вы можете использовать это, если хотите, или просто посмотреть, что он делает, и встроить это в себя.