Ein kleiner Quick-Tipp. Schon seit einiger Zeit bin ich von certbot auf den alternativen Let's Encrypt-Client acme.sh gewechselt. Der Vorteil für mich ist, dass dieser anders als Certbot nicht unzählige Abhängigkeiten von Python benötigt.

Im April hatte Hetzner eine neue DNS-Console veröffentlicht. Nach einem doch eher holprigen Start läuft diese für mich mittlerweile sehr rund.
Seit nun wenigen Wochen wird nun auch die neue Hetzner-DNS-Api von acm.esh unterstützt, was unter anderen auch Wildcard-Zertifikate von Let's Encrypt ermöglicht.
Einzige Bedingung ist, dass die DNS-Zone der Domain in der neuen DNS-Console von Hetzner liegen muss.
Alles was man dann tun muss ist im API Management einen neuen Key zu generieren. Auf der Konsole sind dann folgende Befehle notwendig:

export HETZNER_Token="DeinToken"
acme.sh --issue --dns dns_hetzner -d timscha.io -d '*.timscha.io'

Und schon hat man, wenn alles geklappt hat ein kostenloses Wildcard-Zertifikat für seine Domain.
Das Token wird anschließend in die account.conf im Home-Verzeichnis von acme.sh gespeichert, somit spart man sich das erneute setzen der Variable.