Danke für die Rückmeldungen.
Ist das eine aktuelle Version von acme.sh?
Ja, ich habe watchtower im docker laufen.
Das Problem kam nur zustande, weil ich dem User im Nachgang eine 2FA verpasst hatte und vergessen, die account.conf zu aktualisieren, bzw. neu zu deployen. Das "setting" und die verwendeten Befehle/Parameter funktionierten bis dahin über ein Jahr (seit Beginn) fehlerlos.
Edit:
sollte dig +short -t TXT _acme-challenge.meinedomain.de noch einen Wert zurückliefern,
In der Tat, die anzeigte Werte entsprechen den Einträgen in DNSSEC