Ya te comento que el campo no tiene por que existir, y mas en los de navegación. Los de la FNMT no lo tienen.
En los certificados de correo si que se comprueba, y precisamente los programas de correo como el Outlook, etc no dejan meter el cert a no ser que coincida la cuenta configurada con el campo E del cert.

Puedes hacer dos cosas, o dejar que la comprobación de la identidad la haga la CA y limitar en el IIS el uso de certificados solo a los emitidos por esa CA (la lista CTL del IIS), o comprobarlo tu que es el caso de usar cert emitidos por ti. Aunque no exista suplantación, que sea el mismo usuario el que tenga dos cert, tienes que tener un vinculo cert-email, es decir pareja_de_claves-email es decir pareja_de_claves-cuenta_en_tu_plataforma. Por eso te comento que es mejor hacerlo con la pública, es igual pero con la ventaja de que es única y solo la puede tener él, ya que para que se cree la sesión en el IIS tiene que firmar un hash con su privada (la famosa ventanita de que tanto se habla).

Yo lo que tengo implementado es una opción de meter mas cert en la misma cuenta, una especie de almacen de los cert de cada usuario (puede entrar con cualquiera de los que tenga), es el usuario el que da de alta y de baja los certificados que tiene o quiere, no hay problemas de suplantación ya que siempre está autenticado y es él el que comprueba su propia identidad. Una vez creada la cuenta con un cert que a mi me parezca de confianza, el resto de los cert no importan, ya le tengo pillado ;), pueden ser incluso gratuitos o emitido por el.

Si ya lo tienes implementado puedes crear una tabla con parejas Kpublica-email para poder hacer la comprobación de que el certificado usado es el correcto y no es otro con el mismo email.