Oder wie würdest Du das implementieren?

So wie ich das getan und beschrieben habe.

Mir ging es eigentlich darum, wie Let's Encrypt mit "überflüssigen" renewal-Anfragen umgeht ;-)

Ich sehe da in meinen Messungen einen Gesamtroundrip von ca. 1 Sekunde. Das halte ich alle 7 Tage für tragbar und sogar vernünftig. Letztens war doch irgendein Security-Dinges mit den Zertifikaten, was ein vorzeitiges Renewal sinnvoll machte. Als ich davon las, hatte mein "versuchs einfach mal alle 7 Tage" das Thema schon erledigt gehabt.

Aber zu Deinem Script:

days=$(certbot certificates 2> /dev/null | grep "VALID:" | sed -e "s/^.*VALID: //" -e 's/ day.*$//');
 
if [ ${maxDays} -lt ${days} ]; then
        errMsg="Das Zertifikat ist noch ${days} Tage gültig: Exit";
        logger -t "zertifikat_erneuern" "${errMsg}";
        echo "${errMsg}";
        exit 1;
fi

Das erscheint mir unnötig kompliziert und fehleranfällig. Außerdem sehe ich da keinen Neustart des Webservers?! Warum nicht einfach so etwas alle 7 Tage in die Crontab:

cd /etc/letsencrypt/ && ./certbot-auto renew --force-renew && /etc/init.d/apache2 restart

Oder lass das "--force-renew" halt weg, wenn Du den vermeintlich unnötigen Traffic vermeiden willst.