Auf der FRITZ!Box läuft gar kein "certbot" (ich nehme einfach mal an, daß hier das Angebot der US-amerikanischen EFF gemeint ist), denn wenn man da einfach mal in die Voraussetzungen schaut, liest man:
Certbot currently requires Python 2.7 or 3.4+ running on a UNIX-like operating system.
Das mit dem "UNIX-like operating system" kriegt das FRITZ!OS ja gerade so noch hin ... aber seit wann läuft denn auf der FRITZ!Box (mit dem originalen OS von AVM) Python?
Das hat also AVM mal schön selbst implementiert (in C bzw. in Teilen auch in C++, wie man an den "decorated names" der Symbole in der Datei "/bin/letsencrypt" sehen kann) und auch ohne jedwedes zusätzliche Skript (wo man "eingreifen" könnte) mit dem Rest der Komponenten verwoben.
Man kann also rein mit einer Shell da auch nur wenig machen - man braucht schon einen ACME-Client in einer der auf der Box unterstützten Sprachen und da bleibt nicht so sehr viel übrig außer Lua, Shell und ggf. noch C/C++ ... aber für alles das gibt es ja "Angebote". Es ist also nicht unmöglich, aber man kann AVM auch (in Grenzen) verstehen, wenn man dort nicht die Verantwortung für falsch ausgestellte Zertifikate übernehmen will (Stichwort "wildcard certificates" für DynDNS-Domänen), mit denen dann wieder MITM-Angriffe gestartet werden können.
Solange als Authentication am Ende DNS-01 verwendet wird, braucht man tatsächlich auch Zugriff auf den betreffenden DNS-Server, denn da besteht die "Bestätigung" der Kontrolle über die Domain in einem zusätzlichen DNS-Eintrag (vom Typ TXT) und den kann ein Kunde eines DynDNS-Anbieters eher selten selbst setzen (zumindest bei kostenlosen Diensten, bei wirklich professionellen geht auch das).
Aber wenn ich das richtig sehe, hat AVM nach der Abschaltung von TLS-SNI-01 als Authentication bei LE (irgendwann Anfang Januar 2018, weil sich daraus bei "shared hosting" (mehrere TLS-Server auf derselben IPv4-Adresse) ein Sicherheitsproblem ergab) gar nicht auf DNS-01 umgestellt, auch wenn man das beim MyFRITZ!-Service wohl machen könnte (diese Erkenntnis speist sich bei mir aber auch nur aus der Analyse der angesprochenen Binärdatei (letsencrypt) von AVM).
Stattdessen wird auf HTTP-01 gesetzt ... dabei muß der Webserver unter der im DNS eingetragenen Adresse eine Datei mit speziellem Inhalt (vom ACME-Server vorgegeben) bereitstellen zum Zeitpunkt der Zertifizierung und beim Erneuern.
Das kann aber jeder auch außerhalb der FRITZ!Box machen ... man muß halt nur für die Zeit der Authentication eine Portweiterleitung in der FRITZ!Box auf irgendeinen passenden Client einrichten.
Da dieser Vorgang sowohl über IGD-Interfaces als auch über PCP möglich sein sollte, gibt es (vermutlich) auch irgendeinen passenden Client für Windows-PCs, mit dem man sich ein LE-Zertifikat erstellen kann ... das muß man dann halt nur in die Box importieren. Und bei dieser Version muß man dann natürlich auch selbst dafür sorgen, daß die (relativ kurzlebigen) ACME-Zertifikate rechtzeitig erneuert werden ... das läßt sich sogar unter Windows alles mit PowerShell automatisieren und zwar inklusive der "Erneuerung", denn man kann natürlich auch das Zertifikat "abfragen" und die verbleibende Gültigkeitsdauer dort auslesen - über den Taskplaner auch jederzeit automatisch.
