Mein Problem war, dass acme.sh keine Zertifikate mehr erneuern konnte, wenn die Domain per DNS authentifiziert wird, da die Zone "kaputt" schien. Als DNS-Server setze ich bind ein. Unspezifische Fehlermeldung:

root@web [~]# nsupdate -k $KEYFILE
> server 10.0.0.2
> update add foo.acme.pinknet.de 300 A 127.0.0.1                                  
> send
response to SOA query was unsuccessful

Im named.log war nichts zu sehen. Nach längerem Suchen und prüfen konnte der Fehler nur in der dynamisch erzeugten Datei der Zone liegen, und das hat das Problem in der Tat behoben:

root@infrasrv [~]# rm /etc/bind/zones/acme.pinknet.de.zone.jnl
root@infrasrv [~]# /etc/init.d/named restart

Wie genau die Datei kaputt gegangen ist, kann ich nicht nachvollziehen, nach dem Neustart funktionierte der Mechanismus aber wieder wie gewohnt.