Um subdiretório do DocumentRoot ainda é considerado dentro do DocumentRoot.
Quando alguns pacotes de software desaconselham colocar parte do pacote dentro do DocumentRoot, a intenção é que ele esteja realmente fora do DocumentRoot.
Então, por exemplo, se o seu DocumentRoot for /var/www/example.com/html
você pode querer colocar esses arquivos em outro lugar completamente, como por exemplo /var/www/example.com/restricted
E não, o SSL não resolve nem resolve a preocupação em ter arquivos de configuração confidenciais dentro da raiz do doc!