Есть сервис по выпуску халявных "официально авторизованных" X509-сертифкатов под названием "
Let's Encrypt".
На момент написания этого поста пакет со скриптами обновления сертификатов имени "
certbot" в стабильном выпуске Debian-а имеет версию 0.10 и по умолчанию использует протокол валидации домена "TLS-SNI-01". С 13го февраля этого года конторка
прикрывает данный протокол. Соответственно, сертификаты, протухшие после указанного срока, не перевыпустятся.
Самое простое решение - обновить пакет "certbot" до версии 0.28 из дистрибутива "
stretch-backports". Он по умолчанию будет использовать метод валидации "HTTP-01", больше менять ничего не придётся. Проверить можно заклинанием "certbot renew --dry-run", посмотрев что оно напишет в выхлопе сразу после строчки "Performing the following challenges".