Ja, das ist korrekt. Der CNAME-Eintrag wird Client-seitig ausgewertet und es erfolgt direkt eine Kontaktierung des für sub.xyz.de zuständigen Hosts – aber unter dem "ursprünglichen" Namen sub.abc.com(!) Wenn das so nicht praktikabel ist (weil das Zertifikat nicht aus der Hand gegeben werden darf), hilft nur ein HTTP(S)-Redirect oder die Installation eines Reverse Proxies.
Danke! Ja es soll unter sub.abc.com aufgerufen werden. Ich wunderte mich nur etwas über die Aussagen des Dienstleisters und eines weiteren Admins. Habe kurz an mir gezweifelt