Warum machst Du das Renewal nicht einfach via HTTP stumpf alle 7 Tage? Der Certbot sagt Dir dann schon, dass Du dich bitte noch was gedulden sollst

Also zumindest früher mal kam die Antwort, dass das renew verfrüht sei, vom Server. Den will ich, auch weil es nichts kostet, nicht mit sinnlosen Anfragen belasten

Ganz ehrlich: keine Ahnung. Aber ganz ehrlich der Roundtrip bei "unnötiger Verlängerungsanfrage" mit Antwort "Ey, hab mal Geduld" alle 7 Tage dauert ca. 1 Sekunde. So what?

Ich kann mir nur schwer vorstellen, dass deren Server dadurch mehr Last erfährt, als zu fragen: "darf ich schon?".

und vor allem nicht die Firewall grundlos aufmachen. Hat sich das geändert?

Ja, okay. Das ist bei Deinem Setup ein Argument. Wie gesagt, IMHO ist dieses Vorgehen drüber. Bei SSH via fail2ban, ok. Aber bei HTTP? Wenn ich da wirklich ein Problem hätte, würde ich mich ebenfalls einem fail2ban ähnlichen Menchanismus bemühen wollen. Wenn mir irgendein Script-Kiddie mal irgendwelche SQLs unterjubeln will? So what?