Quando você executa inicialmente o letsencrypt (ou certbot), ele cria um novo arquivo de configuração para cada site configurado e ativado no servidor. Isso significa que example.net.conf é complementado com example.net-le-ssl.conf . Se você deseja desativar um site, agora precisa desativar ambos arquivos de configuração.
a2dissite example.net
a2dissite example.net-le-ssl
(Opcionalmente adicione .conf ao final de ambos os itens acima: não faz diferença.)
Se você não fizer isso, letsencypt ainda tentará renovar o certificado SSL para o site em questão.