Ich muss Abbitte leisten, denn ich habe Unsinn erzählt. Da und da.
Ich habe gemutmaßt, günstige CAs wie StartSSL würden bei der Erzeugung der X.509-Client-Zertifikate sowohl den öffentlichen als auch den privaten Teil des Schlüssels auf ihrem Server erzeugen und dann dem Benutzer zur Verfügung stellen. Das hätte bedeutet, dass sie selbst — oder irgendwelche Strafverfolgungsbehörden, die sich den privaten Schlüssel mit irgendwelchen Gerichtsbeschlüssen besorgt hätten — später meine verschlüsselten Mails hätten entschlüsseln können.
In Wirklichkeit funktioniert das ganz anders: das schöne HTML5-Tag <keygen> weist den Browser an, den Schlüssel lokal zu erzeugen und nur den CSR zur Zertifizierungsstelle zu schicken — so, wie es gedacht ist. Außer natürlich beim Internet Explorer, der kann das nicht.
Ich revidiere also meine Meinung: lasst Euch bei StartSSL (oder einem ähnlichen Anbieter) ein X.509-Zertifikat ausstellen, dann könnt Ihr Eure Mails mit S/MIME verschlüsseln und signieren.