<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 21 April 2016 at 16:48, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On 04/21/2016 07:18 AM, Odhiambo Washington wrote:<br>
> Is is expected that  using ssl_bump results into high CPU usage all the<br>
> time?<br>
<br>
</span>Your question is impossible to answer in general: The CPU usage levels<br>
depend on the amount of Squid traffic, the portion of SSL traffic in the<br>
overall traffic mix, the portion of step1, step2, and step3 traffic in<br>
the SSL traffic mix, hardware resources available to Squid, the number<br>
of Squid workers, and many other factors.<br>
<br>
> acl no_ssl_interception ssl::server_name ...<br>
<span class="">> ssl_bump splice no_ssl_interception<br>
> ssl_bump peek step1<br>
> ssl_bump stare step2<br>
<br>
</span>The above config continues to violate the specific advice given to you<br>
previously: <b>Do not mix "peek" and "stare" unless you have a very<br>
specific need for doing so.</b><br></blockquote><div><br></div><div>I have noted that instruction. It was actually an oversight caused by slow understanding of the terminologies.</div><div>Once I have changed to what you advised before, the CPU usage has gone down considerably:</div><div><br></div><div><div><br></div><div>acl no_ssl_interception ssl::server_name "/usr/local/etc/squid/ssl_bump_broken_sites.txt"</div><div>ssl_bump splice no_ssl_interception </div><div>ssl_bump stare step2</div><div>#ssl_bump bump all</div><div>ssl_bump splice all</div></div><div><br></div><div>So basically I should just have two options, I think, no?? Like</div><div><br></div><div>ssl_bump stare step2<br></div><div>ssl_bump splice all<br></div><div><br></div><div>If one day, for some reason I want to bump, then I could change to:</div><div><br></div><div><div>acl no_ssl_interception ssl::server_name "/usr/local/etc/squid/ssl_bump_broken_sites.txt"</div><div>ssl_bump splice no_ssl_interception</div></div><div>ssl_bump stare step2<br></div><div>ssl_bump bump all<br></div><div><br></div><div><br></div><div>Thank you so much Alex.</div><div><br></div><div><br></div><div>-- <br></div></div><div class="gmail_signature"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">"</span></div></div></div>
</div></div>