@MMD - andere Sprache gewünscht?
Ich nehme an mit FQDN meinst du etwas wie hsi-kbw-......kabel-badenwuerttemberg.de, oder eben entsprechend anders lautend, je nach dem jeweiligen Provider.
Dieser FQDN enthält normal auf einen String mit der aktuellen IP.
Sobald die IP des Internet-Anschluß wechselt, ändert sich auch dieser FQDN.
Bei Lets Encrypt geht es zur Verifikation für ein Zertifikat um die Kontrolle des Webservers (nicht den Besitz) auf dem das Zertifikat laufen soll.
Zum Zeitpunkt der Prüfung stimmen also der FQDN und der dort laufende Webserver überein und es wird ein LE-Zertifikat ausgestellt.
Sobald die IP/FQDN sich ändert wird das Zertifkat ungültig, weil der Common Name im Zertifkat nicht mehr mit dem FQDN des Internetanschlusses übereinstimmt.
Das ist alles genau so wie es vorgesehen ist (und es ist gut so).
Hier unterscheidet sich Let's Encrypt von den gewohnten Diensten wie StartCom und anderen, bei denen man die Kontrolle über die Domain (bzw. der dort gängigen email-Adressen, nicht den Besitz) haben muss.
Also alles in Ordnung und sicher ist es auch. Zudem sorgt dies dafür, dass man deutlich mehr webserver absichern kann als vorher.
P.S. die Sinnhaftigkeit sich auf ein FQDN eines dynamischen Internetanschlusses ein Zertifikat auszustellen sei hier mal nicht weiter betrachtet.