Digamos que uno no confía en ECC mucho , y valora la confidencialidad sobre la autenticidad (tal vez simplemente por la razón de que MitM es más difícil que la escucha y descifrado pasivos más adelante). En este caso, se podría usar el DHE clásico para intercambios de claves y ECDSA para firmas.
¿Hay algo problemático al hacerlo? Para tener un alto nivel de cifrado, se usarían grandes parámetros DH (quizás 16k), ya que el intercambio de claves DHE clásico no es computacionalmente costoso, y firmas ECDSA más rápidas en las claves DHE intercambiadas. Además, esta combinación no forma parte de la especificación TLS (que yo sepa), ¿por qué no?
EDITAR: Solo para aclarar, parece que esto no es parte de la especificación, pero estoy buscando respuestas sobre por qué no, o si sería una mala idea desde una perspectiva de seguridad.