"DNSSEC: Bogus" bedeutet meinen Erfahrungen nach, dass es ein Problem mit den DNSSEC-Signaturen gibt. Prüfe mal deine Domains mit einem Tool wie DNSViz (einfach bei Google nach suchen). Das Tool kann dir diverse DNS-Probleme anzeigen und prüft auch die DNSSEC-Signaturen.
Brauchst du unbedingt Wildcard-Zertifikate? Wenn eh schon all deine (Sub-)Domains am NGINX Reverse Proxy zusammenlaufen ist es ansonsten auch ein leichtes einfach einen universell nutzbaren location-Block für die HTTP-Challenge in die Server-Blöcke einzubauen. Meiner sieht zum Beispiel so aus (ohne Garantie, dass es evtl. nicht noch etwas schöner geht, funktioniert aber 1A):
location /.well-known/acme-challenge {
root /var/www/html/acme-challenge;
location ~/.well-known/acme-challenge/(.*) {
default_type text/plain;
}
}
/var/www/html/acme-challenge wäre in diesem Beipsiel dann immer der webroot_path für deine certbot-renewal.conf