<div dir="ltr"><div>Hi Team,<br><br></div><div>Squid - Version 3.5.13<br><br><br></div><div>Please find the below Squid Cache Logs <br>2016/05/23 13:35:55 kid1| Error negotiating SSL connection on FD 138: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:35:55 kid1| Error negotiating SSL connection on FD 457: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:00 kid1| Error negotiating SSL connection on FD 33: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:01 kid1| Error negotiating SSL connection on FD 438: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:05 kid1| Error negotiating SSL connection on FD 555: (104) Connection reset by peer<br>2016/05/23 13:36:06 kid1| Error negotiating SSL connection on FD 512: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:09 kid1| Error negotiating SSL connection on FD 618: (104) Connection reset by peer<br>2016/05/23 13:36:15 kid1| Error negotiating SSL connection on FD 514: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:15 kid1| Error negotiating SSL connection on FD 206: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown (1/0)<br>2016/05/23 13:36:18 kid1| Error negotiating SSL connection on FD 627: (104) Connection reset by peer<br>2016/05/23 13:36:18 kid1| Error negotiating SSL on FD 147: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure (1/0/0)<br>2016/05/23 13:36:19 kid1| Error negotiating SSL connection on FD 343: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown (1/0)<br>2016/05/23 13:36:24 kid1| Error negotiating SSL connection on FD 378: (104) Connection reset by peer<br>2016/05/23 13:36:25 kid1| Error negotiating SSL connection on FD 491: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:28 kid1| ctx: enter level  0: '<a href="http://afs.moatads.com/empty_flash?tracer=">http://afs.moatads.com/empty_flash?tracer=</a>'<br>2016/05/23 13:36:28 kid1| keepaliveAccounting: Impossible keep-alive header from '<a href="http://afs.moatads.com/empty_flash?tracer=">http://afs.moatads.com/empty_flash?tracer=</a>'<br>2016/05/23 13:36:34 kid1| ctx: exit level  0<br>2016/05/23 13:36:34 kid1| Error negotiating SSL connection on FD 257: (104) Connection reset by peer<br>2016/05/23 13:36:34 kid1| Error negotiating SSL connection on FD 90: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:38 kid1| Error negotiating SSL on FD 125: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure (1/0/0)<br>2016/05/23 13:36:38 kid1| Error negotiating SSL connection on FD 577: (104) Connection reset by peer<br>2016/05/23 13:36:38 kid1| Error negotiating SSL connection on FD 91: (104) Connection reset by peer<br>2016/05/23 13:36:39 kid1| Error negotiating SSL connection on FD 220: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:36:43 kid1| Error negotiating SSL connection on FD 50: (104) Connection reset by peer<br>2016/05/23 13:36:48 kid1| Error negotiating SSL connection on FD 579: (104) Connection reset by peer<br>2016/05/23 13:36:48 kid1| Error negotiating SSL connection on FD 455: (104) Connection reset by peer<br>2016/05/23 13:36:49 kid1| Error negotiating SSL connection on FD 414: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (1/0)<br>2016/05/23 13:39:28 kid1| varyEvaluateMatch: Oops. Not a Vary match on second attempt, '<a href="http://cdn.sstatic.net/Sites/stackoverflow/all.css?v=fada5080e3ea">http://cdn.sstatic.net/Sites/stackoverflow/all.css?v=fada5080e3ea</a>' 'accept-encoding="gzip,%20deflate"'<br><br><br><br></div><div>----------------------------Cache log End --------------------------------------<br><br></div><div>Do we need to update openssl? I got to know these from the forum previous post ....<br></div><div>If we need to update the openssl then where can we find the updated version of CA Certs ....<br><br><br></div><div><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 23, 2016 at 12:52 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 23/05/2016 6:27 p.m., Sagar Malve wrote:<br>
> Hi Team,<br>
><br>
> System Config:<br>
><br>
> Intel S2400SC2 Motherboard<br>
> Intel Xeon ES 2407 V2 CPU<br>
> RAM 32 GB<br>
><br>
<br>
</span>What Squid version?<br>
<div><div class="h5"><br>
><br>
> http_port 3127<br>
> http_port 3128 intercept<br>
> https_port 3129 intercept ssl-bump generate-host-certificates=on<br>
> dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_certs/squid.crt<br>
> key=/etc/squid/ssl_certs/squid.key options=NO_SSLv3<br>
> tls-dh=/etc/squid/dhparam.pem<br>
> sslproxy_capath /etc/ssl/certs<br>
><br>
><br>
> # FILTERING HTTPS<br>
> acl 1 dstdomain .<a href="http://fbcdn.net" rel="noreferrer" target="_blank">fbcdn.net</a> .<a href="http://akamaihd.net" rel="noreferrer" target="_blank">akamaihd.net</a> .<a href="http://fbsbx.com" rel="noreferrer" target="_blank">fbsbx.com</a><br>
> #acl 2a dstdomain .<a href="http://mahadana.com" rel="noreferrer" target="_blank">mahadana.com</a> .<a href="http://mql4.com" rel="noreferrer" target="_blank">mql4.com</a> .<a href="http://metaquotes.net" rel="noreferrer" target="_blank">metaquotes.net</a><br>
> acl 2 url_regex -i ^https?:\/\/attachment\.fbsbx\.com\/.*\?(id=[0-9]*).*<br>
> acl 2 url_regex -i<br>
> \.fbsbx\.com\/.*\/(.*\.(unity3d|pak|zip|exe|dll|jpg|png|gif|swf)/)$<br>
> acl 2 url_regex -i ^https?:\/\/.*\.ytimg\.com(.*\.(webp|jpg|gif))<br>
> acl 2 url_regex -i ^https?:\/\/([^\.]*)\.yimg\.com\/(.*)<br>
> acl 2 url_regex -i ^https?:\/\/.*\.gstatic\.com\/images\?q=tbn\:(.*)<br>
> acl 2 url_regex -i<br>
> ^https?:\/\/.*\.reverbnation\.com\/.*\/(ec_stream_song|download_song_direct|stream_song)\/([0-9]*).*<br>
> acl 2 url_regex -i<br>
> ^https?:\/\/([a-z0-9.]*)(\.doubleclick\.net|\.quantserve\.com|.exoclick\.com|interclick.\com|\.googlesyndication\.com|\.auditude\.com|.visiblemeasures\.com|yieldmanager|cpxinteractive)(.*)<br>
> acl 2 url_regex -i ^https?:\/\/(.*?)\/(ads)\?(.*?)<br>
> acl 2 url_regex -i ^https?:\/\/.*steampowered\.com\/.*\/([0-9]+\/(.*))<br>
> acl 3 url_regex -i<br>
> ^https?:\/\/(.*?)\/speedtest\/.*\.(jpg|txt|png|gif|swf)\?.*<br>
> acl 3 url_regex -i speedtest\/.*\.(jpg|txt|png|gif|swf)\?.*<br>
> acl 4 url_regex -i reverbnation.*audio_player.*ec_stream_song.*$<br>
> acl 5 url_regex -i utm.gif.*<br>
> acl 6 url_regex -i c.android.clients.google.com.market.GetBinary.GetBinary.*<br>
> acl 7 url_regex -i youtube.*(ptracking|stream_204|player_204|gen_204).*$<br>
> acl 7 url_regex -i<br>
> \.c\.(youtube|google)\.com\/(get_video|videoplayback|videoplay).*$<br>
> acl 7 url_regex -i (youtube|google).*\/videoplayback\?.*<br>
> acl 8 http_status 302<br>
> acl getmethod method GET<br>
><br>
<br>
</div></div>Using .* on the beginning or end of a regex does nothing but cause more<br>
CPU workload for Squid.<br>
<br>
If you put it inside (.*), or with an anchor ^.* or .*$ just makes the<br>
CPU usage worse.<br>
<br>
What http_access rules are using those?<br>
<span class=""><br>
><br>
> ssl_bump splice localhost<br>
> acl 9 at_step SslBump1<br>
> acl 10 at_step SslBump2<br>
> acl 11 at_step SslBump3<br>
> ssl_bump peek 9 all<br>
> ssl_bump bump 10 all<br>
> ssl_bump bump 11 all<br>
<br>
</span>Step3 of bumping process will never happen. You told Squid to begin<br>
decryption at step2.<br>
<br>
Have you disabled "via"?<br>
<span class=""><br>
<br>
><br>
> ----------------------------------------------------------------------------------------------<br>
><br>
> Is there any way where it can Cache SSL Certificate for all HTTPS Traffic<br>
> ....<br>
> Because SSL Cert & Squid process were using 99% of CPU Load ....<br>
<br>
</span>Er, what do you think caching does exactly?<br>
<br>
Caching HTTPS will have no effect on your described CPU problem. Might<br>
make it worse even.<br>
<br>
<br>
Between them?<br>
<br>
How much is each process using?<br>
<br>
How may concurrent connections are being handled by Squid to get that<br>
loading ?<br>
<br>
<br>
Check whether Squid is finished loading its cache_dir indexes, or if any<br>
of them are undergoing a "DIRTY" rebuild. That can use a lot of CPU<br>
while its happening and caching cannot be fully operational until its<br>
finished either.<br>
<span class=""><br>
<br>
><br>
> We have approx 200 users ....<br>
><br>
> I have set the open file limit to 100000<br>
<br>
</span>FYI: SSL-Bump with your configuration will use 3 FD for each client<br>
inbound HTTPS request. That 100K limit will restrict your users to 150<br>
concurrent connections each.<br>
A browser using Happy eyeballs will open 16 connections to each domain.<br>
Average web page on the most popular sites involve around 100 objects<br>
spread over 10+ domains.<br>
  => ~160 FD needed to load an average page.<br>
<br>
I'd double that limit, if you expect this proxy to have much traffic.<br>
<span class=""><br>
><br>
> Could you please let us know if there is any way to Cache the HTTPS Request<br>
> in Squid .....<br>
><br>
<br>
</span>You are already SSL-Bumping traffic. That removes the 'S' from HTTPS.<br>
Leaving Squid with regular HTTP messages, which already are cached if it<br>
can.<br>
<br>
Amos<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br></div>