По всей видимости у Яндекса множество серверов в облаке и по какой-то причине не происходит transfer при внесении изменений в зону, а происходит синхронизация с огромной задержкой (до нескольких часов и более).
В связи с чем длительное время на запросы выдаются разные ответы и чаще неактуальные.
Как я поступал:
- запускал certbot
- вносил изменения в доменную зону
- несколько раз дёргал утилиту dig
- выжидал 3+ часа
- снова дёргал dig
- возвращался к certbot и подтверждал что внёс последнее изменение в зону
- если были верифицированы не все записи, возвращался к п. 1.
(НО я получал сертификат вручную, что может не сработать через ПУ хостингом, т.к. некоторые хостинговые площадки уже через час останавливают процесс получения сертификата.)
Спустя какое-то время меня всё это достало и я распрощался с котом Шрёдингера, подняв собственный DNS.
И другим советую избегать DNS от Яндекса при получении Let's Encrypt.