Eu entendi.
Instalei certbot
do debian unstable, que instalou 1.0.2f-2
. unstable é fixado na prioridade "-100" (não instale da unstable a menos que seja solicitado com -t unstable
). Isso significa que a versão está entre a versão de jessie 1.0.0X-Y
e a versão instável atual 1.0.2.h-1
. Isso impediu uma atualização para a próxima versão na unstable, enquanto a atualização na stable é uma versão "antiga" em relação ao número da versão.