Aus mir bisher unerklärlichen Gründen hängt certbot-auto auf einem unserer Debian (wheezy) Systeme bei "Cleaning up challenges".

Scheinbar gibt es Probleme mit der Challenge über HTTPS (Certbot Standalone --standalone macht einen Server auf Port 443 auf). Ich habe es dann mal mit der Option --preferred-challenges http (nacktes HTTP auf Port 80) versucht und siehe da, es geht wieder.

Man kann die Option (pref_challs) auch in der renewal config (/etc/letsencrypt/renewal/www.example.com.conf) setzen:

renew_before_expiry = 30 days
version = 0.15.0
cert = /etc/letsencrypt/live/www.example.com/cert.pem
privkey = /etc/letsencrypt/live/www.example.com/privkey.pem
chain = /etc/letsencrypt/live/www.example.com/chain.pem
fullchain = /etc/letsencrypt/live/www.example.com/fullchain.pem
archive_dir = /etc/letsencrypt/archive/www.example.com

# Options used in the renewal process
[renewalparams]
authenticator = standalone
installer = None
account = <account id>
pref_challs = http-01,
post_hook = service nginx start
pre_hook = service nginx stop

Wenn ich das eigentliche Problem gefunden habe, werde ich diesen Beitrag aktualisieren.