resumidamente, o proxy mtls.pix.ae "derruba" a necessidade de você se preocupar com mtls. se quiser uma garantia de o request entrante é da GN, você tem alternativas:
1- enviar um request de consumo na API Pix da GN pra constatar a informação recebida;
2- anotar o IP usado pelo pix.ae nos requests que recebe e depois validar se estão vindo sempre desse mesmo IP;
3- usar uma rota com uma string aleatória menos previsível do que "/webhookpix" (e não torná-la pública).