<div dir="ltr">I will put the splice explicitly and observe.<div><br></div><div>Without ssl_bump I never saw such cpu usage with squid.</div><div><br></div><div>However, lemme watch and also listen to feedback..</div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On 21 April 2016 at 16:34, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 22/04/2016 1:18 a.m., Odhiambo Washington wrote:<br>
> Is is expected that  using ssl_bump results into high CPU usage all the<br>
> time?<br>
><br>
<br>
</span>Encryption adds CPU overhead, but how much depends on what your normal<br>
use was. I dont think any of us have a good rule-of-thumb or educated<br>
guess yet because Squid code has been changing so much.<br>
<br>
If its worrying you, I suggest trying your favourite profiling tools out<br>
and see if anything useful shows up.<br>
<div><div class="h5"><br>
<br>
> This is squid-3.5.17<br>
><br>
> That is what I am seeing:<br>
><br>
> last pid: 26673;  load averages:  2.24,  2.00,  2.10<br>
><br>
>               up 0+03:47:56  16:08:30<br>
> 160 processes: 2 running, 157 sleeping, 1 zombie<br>
> CPU: 86.1% user,  0.0% nice,  7.8% system,  3.3% interrupt,  2.7% idle<br>
> Mem: 843M Active, 1942M Inact, 185M Wired, 43M Cache, 89M Buf, 97M Free<br>
> Swap: 5900M Total, 1248K Used, 5899M Free<br>
><br>
>   PID USERNAME       THR PRI NICE   SIZE    RES STATE   C   TIME    WCPU<br>
> COMMAND<br>
> 13309 squid           17  20    0   305M   264M uwait   0   7:38  80.86%<br>
> squid<br>
> 26088 squid            1  21    0 12812K  5352K sbwait  1   0:04   2.49%<br>
> ssl_crtd<br>
> 26090 squid            1  20    0 12812K  5272K sbwait  1   0:01   0.88%<br>
> ssl_crtd<br>
><br>
><br>
> My config has:<br>
><br>
><br>
><br>
> acl no_ssl_interception ssl::server_name<br>
> "/usr/local/etc/squid/ssl_bump_broken_sites.txt"<br>
> ssl_bump splice no_ssl_interception<br>
> ssl_bump peek step1<br>
> ssl_bump stare step2<br>
> #ssl_bump bump all<br>
> #ssl_bump splice all<br>
><br>
> I think I read somewhere that 'ssl_bump splice all" is the default<br>
> behaviour, hence why I have commented it out. All I need is just become a<br>
> TCP tunnel without decrypting proxied traffic.<br>
<br>
</div></div>I wouldn't rely on the default for things like this. Squid makes a<br>
*guess* based on what data it has to work with on a per-connection<br>
basis. There is no extra cost to having it configured, Squid has to<br>
check the whole set anyway.<br>
<br>
Amos<br>
<span class=""><br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
</span><a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">"</span></div></div></div>
</div></div></div>