Sim, você precisa de um certificado para example.com
, sendo válido para xmpp.example.net
não importa. Isso ocorre porque o DNS é considerado não confiável: seria muito fácil detectar o registro SRV para apontar para um servidor mal-intencionado, para o qual um invasor pode ter um certificado válido e confiável.
Existem algumas soluções propostas para esse problema (incluindo DANE e POSH), mas nenhuma delas é suportada atualmente pelos clientes. As únicas soluções são: 1) fazer com que todos aceitem a incompatibilidade de certificados, 2) usar xmpp.example.net como seu domínio XMPP ou 3) convencer a segurança de que você precisa de um certificado para example.com.