да, спасибо, я как раз писал, что уже понял.

при таком конфиге сервера:
ssl_protocols TLSv1;
ssl_ciphers ECDHE-ECDSA-AES128-SHA:AES128-SHA;
ssl_prefer_server_ciphers on;

если запускаем
openssl s_client -tls1

то от клиента приходит запрос, в котором есть шифр ECDHE-ECDSA-AES128-SHA, сервер выбирает его, но не может использовать из-за SECLEVEL, выдаёт такой ответ:
Transport Layer Security
TLSv1 Record Layer: Alert (Level: Fatal, Description: Internal Error)
Content Type: Alert (21)
Version: TLS 1.0 (0x0301)
Length: 2
Alert Message
Level: Fatal (2)
Description: Internal Error (80)


если же мы запускаем
openssl s_client -cipher AES128-SHA -tls1

то сервер соглашается на AES128-SHA и всё работает.