<div dir="ltr"><div>Hey,</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 20 Mar 2020 at 09:45, Talkabout via Unbound-users <<a href="mailto:unbound-users@lists.nlnetlabs.nl">unbound-users@lists.nlnetlabs.nl</a>> wrote:<br></div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="DE"><div class="gmail-m_-4418923565446543002WordSection1"><p class="MsoNormal">But the Problem arises when it Comes to Resolution times. With my initial configuration I have an average resolution time of < 100ms. [...]<br></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">With the TLS way the Resolution time increases to > 200ms. When I query one of those TLS DNS Servers directly via kdig, I get results in approx. 30-60ms.<br></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Is this something that one has to live with when using TLS or do I have a configuration Problem on my end?</p></div></div></blockquote><div><br></div><div>This is very much a meta-answer (I have no suggestions for your unbound question) but it may be worth remembering that the performance that the clients of your resolver see generally has far more to do with the cache hit rate than the time taken to process a cache miss.</div><div><br></div><div>A difference of 100ms in resolution time looks like a 100% increase in processing time and I appreciate why that looks worrying.</div><div><br></div><div>However, if a particular upstream server sends responses with a TTL of 3600 seconds and your client traffic needs those responses once a second, though, then it's only 1/3600 of your queries that see the extra latency. This looks far less worrying.</div><div><br></div><div>A better test of resolver performance is to find some standard, repeatable tests that emulate what end-users are doing and run them regularly. Tests like "load the front page of <a href="http://amazon.com">amazon.com</a>" or "Load the front page of <a href="http://youtube.com">youtube.com</a>" still involve a lot of DNS traffic and are more reflective of what users actually do than "retrieve a particular RRSet from a particular server".</div><div><br></div><div><br></div><div>Joe</div></div></div>