Bom dia, @xferbe. Tudo bem?
Isso. A Efí irá fazer 2 requisições para o seu domínio. A primeira sem sem certificado e seu servidor não deverá aceitar a requisição. Na segunda notificação, o seu servidor deve conter a chave pública disponibilizada para realizar o "Hand-Shake" e assim a comunicação ser estabelecida.
Esse certificado não é enviado através do header da requisição, segue o padrão de comunicação mTLS. Nos disponibilizamos alguns exemplo de configuração de servidor: https://dev.gerencianet.com.br/docs/api-pix-endpoints#exemplos-de-configura%C3%A7%C3%B5es-de-servidor
Termos mais procurados: