Assumindo que seu certificado é strong e não é gerado por um software comprometido ou fraco, o login raiz somente de certificado protege você contra logins raiz de pessoas que não têm seu certificado. É isso.
Ele não protege você contra vulnerabilidades ou explorações de acesso remoto, não protege você contra alguém que rouba seu certificado, não protege seu servidor contra invasões, backdoors ou outros comprometimentos.
É análogo a uma fechadura imperceptível na sua porta. Uma casa com uma fechadura de porta que não pode ser arrombada ainda pode ser arrombada através da garagem, através das janelas, chutando a porta ou através de outros meios mais criativos. Da mesma forma, um servidor protegido por um login raiz somente de certificado pode ser comprometido de várias maneiras ... apenas não forçando brutalmente a senha de login raiz.