Есть сервис по выпуску халявных "официально авторизованных" X509-сертифкатов под названием "Let's Encrypt".
На момент написания этого поста пакет со скриптами обновления сертификатов имени "certbot" в стабильном выпуске Debian-а имеет версию 0.10 и по умолчанию использует протокол валидации домена "TLS-SNI-01". С 13го февраля этого года конторка прикрывает данный протокол. Соответственно, сертификаты, протухшие после указанного срока, не перевыпустятся.
Самое простое решение — обновить пакет "certbot" до версии 0.28 из дистрибутива "stretch-backports". Он по умолчанию будет использовать метод валидации "HTTP-01", больше менять ничего не придётся. Проверить можно заклинанием "certbot renew --dry-run", посмотрев что оно напишет в выхлопе сразу после строчки "Performing the following challenges".