Sim, é necessário sempre que um certificado é renovado. Você ainda precisa verificar se o sistema de chamada está no controle do recurso.
Eu criei um certificado para o meu servidor Apache 2.4. Para validar meu servidor, o letsencrypt criou a pasta .well-known
e acessou-a.
Preciso manter essa pasta acessível (para renovação de certificado) ou posso excluir / bloquear a pasta?
Permite criptografar pode criar um novo diretório quando você renovar seu SSL. Então, sim, você precisa do diretório para renovação, mas pode removê-lo após a primeira validação ou renovação.