De RFC 6520 :
A HeartbeatRequest message can arrive almost at any time during the
lifetime of a connection. Whenever a HeartbeatRequest message is
received, it SHOULD be answered with a corresponding
HeartbeatResponse message.
Acredito que isso possa acontecer durante a fase "hello" do TLS em que cliente e servidor estão trocando certificados, ou seja, antes que o servidor possa dizer "não" ao cliente com base no certificado, ou a falta dele.