сертификат автоматически обновился, а nginx без перезагрузки не увидел новый сертификат. systemctl restart nginx вернул его в работоспособное состояние.
Добавил строчку
* 5 * * * root systemctl reload nginx
в файл /etc/crontab
и применил изменения systemctl restart crond