Thanks for replying Mike. It turns out the FIPS performance wasn't really the issue. After turning on debugging and taking the time to carefully read through the stunnel.log output, it turns out the open file limit and max user process limit was choking the performance of stunnel. After adjusting the limits, performance has returned to acceptable levels. It does take a while for stunnel to "warm up" after a restart but after a minute or two, it seems to work just fine. Thanks again for replying.<div>
<br></div><div>Maybe as a suggestion, a quick note on the stunnel performance page would be nice. I did stumble across that page while searching for a fix and saw that stunnel should be able to handle the load it was getting. I just didn't know how to fix/tune it.</div>
<div><br></div><div>Thanks again!</div><div>Owen</div><div><br><div class="gmail_quote">On Thu, Jan 12, 2012 at 2:35 AM, Michal Trojnara <span dir="ltr"><<a href="mailto:Michal.Trojnara@mirt.net">Michal.Trojnara@mirt.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Owen Ching wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
we're using a rackspace cloud machine to run stunnel and haproxy. we're using the x-forwarded-for stunnel patch for now with plans to upgrade to send-proxy method once haproxy 1.5 is considered the stable branch.<br>

</blockquote>
<br></div>
In my humble opinion it is more risky to use 3rd party patches to stunnel, than to use development branch of haproxy.  8-)<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So I built one machine and ran into the "FIPS_mode_set: 2D06C06E: error:2D06C06E:FIPS routines:FIPS_mode_set:<u></u>fingerprint does not match" error message.<br>
</blockquote>
<br></div>
Failed FIPS fingerprint verification indicates a problem with your OpenSSL build rather than a problem with stunnel.<br>
Make sure to read OpenSSL FIPS 140-2 User Guide before you compile your OpenSSL in FIPS mode.<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So I changed the config to fips=no and stunnel started up but the https seems really slow (multiple browsers).<br>
</blockquote>
<br></div>
It's hard to say anything without your stunnel.conf, the output of stunnel -version, and a sample of your log files.<br>
<br>
Options with serious performance impact include:<br>
 - TIMEOUTclose (should be set to 0 to work properly with buggy Microsoft SSL implementations)<br>
 - compression<br>
 - libwrap<br>
<br>
Best regards,<br>
        Mike<br>
<br>
<br>_______________________________________________<br>
stunnel-users mailing list<br>
<a href="mailto:stunnel-users@stunnel.org">stunnel-users@stunnel.org</a><br>
<a href="http://stunnel.mirt.net/mailman/listinfo/stunnel-users" target="_blank">http://stunnel.mirt.net/mailman/listinfo/stunnel-users</a><br>
<br></blockquote></div><br></div>