Un site web peut être hébergé sur un serveur qui se cache derrière un proxy Apache.
Dans le proxy, il y a la gestion des certificats par Let's Encrypt.

Lors d'un renouvellement, la vérification ACME Challenge ne fonctionne pas car le code est socké sur le proxy et c'est le serveur caché qui répond à la requête avec une entrée introuvable.

Pour cela, corriger le proxy en mettant dans la configuation :
ProxyRequests Off
ProxyPass /.well-known/acme-challenge/ !
ProxyPass / http://10.1.2.3/
ProxyPassReverse / http://10.1.2.3/
ProxyPreserveHost on

La ligne intéressante est :
ProxyPass /.well-known/acme-challenge/ !
Elle empêche le proxy de s'appliquer.

Relancer Apache : apache2ctl -t && service apache2 reload