<div dir="auto">Thanks a lot for the hint with haveged. Installed it and entropy went up by factor 10. Seems that the SSL connections now are back to normal again.<div dir="auto">Is there a plausible explanation why starttls has been affected much less by this issue compared to SSL?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Christian Kivalo <<a href="mailto:ml%2Bdovecot@valo.at">ml+dovecot@valo.at</a>> schrieb am Sa., 23. März 2019, 17:09:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On March 23, 2019 12:39:13 PM GMT+01:00, Tobi via dovecot <<a href="mailto:dovecot@dovecot.org" target="_blank" rel="noreferrer">dovecot@dovecot.org</a>> wrote:<br>
>Hello list<br>
><br>
>we encounter a weird SSL issue with one of our dovecot (2.2.24 on<br>
>Centos6) which we can only explain if our assumtion is correct<br>
>Symptoms are that imaps connections (on port 993) suddenly get veeeery<br>
>slow. Up to 180s for one connection with openssl s_client The thing we<br>
>do not understand is that in the same time imap connections with<br>
>starttls are just 1s.<br>
>We can see that entropy on the affected system is not so high<br>
><br>
>cat /proc/sys/kernel/random/entropy_avail<br>
>138<br>
><br>
>So our current theory is: we're running short of entropy but imaps<br>
>connections are much more affected because they are encrypted from<br>
>first<br>
>bit. Whereas a starttls connection has an unencrypted part which<br>
>generates some entropy it does not use. So I can add entropy to the<br>
>system that other connections can use.<br>
><br>
>We're open for any other theory but for the moment we believe (tm) that<br>
>this is the reason that starttls is far more less affected than SSL<br>
Test your assumption, install haveged and see if that helps<br>
>Cheers<br>
><br>
>tobi<br>
<br>
-- <br>
Christian Kivalo<br>
</blockquote></div>