Exacto, si te digo que no existe como lo van a comprobar. En España hay dos millones de personas que hacen la declaración de hacienda por internet con certificados de la FNMT que no tienen email (E), y que por supuesto no ha podido comprobar nadie su cuenta de correo del certificado ya que estos no tienen ese campo y no se puede comprobar algo que no existe.


Que utilices la clave pública en tu software para relaccionar certificado y cuenta en tu plataforma, no quiere decir que no puedas leer los campos del cert para ver la identidad del propietario del certificado. No te lies, una cosa son las parejas de claves y otra la identidad física de alguien. Si yo firmo algo (cifro un hash con mi privada) puedo repudiarlo, ya que cualquiera puede generarse una pareja de claves (como en PGP). El no repudio viene cuando hay una tercera persona (la CA) que dice que el poseedor de la pareja de claves soy yo, y que me presenté en sus oficinas con el DNI en la boca cuando me emitieron el certificado. Resumiendo que si tu admites certificados de una CA de confianza, la identidad del usuario la garantiza la CA y tu solo tienes que leer los campos del certificado para estar seguro que es quien dice ser. Si despues quieres demostrar (ante un juez, o ante el que sea) que fulano ha entrado tantas veces, tendrás que hacerle firmas un texto cada vez que entre, o una factura, o la fecha y la hora, o lo que quieras, según el grado de repudio que esperes, suele ser suficiente con los log del IIS, que es lo que tienen los ISP normalmente.

P.D:La CA no le da permiso a nadie para entrar en tu plataforma, eres tu el que tienes que hacer una consulta a bbdd para ver que permisos tiene ese usuario identificado con un cert.