Fix Guide36887Schannel TLS

Corriger l'erreur Schannel TLS 36887 – Windows 8.1 2026

L'ID d'événement Schannel 36887 indique un code d'alerte fatale TLS 40 (échec de l'authentification) sur Windows 8.1, généralement causé par des protocoles TLS obsolètes, des problèmes de certificat ou des incompatibilités de suite de chiffrement.

Emanuel DE ALMEIDA

17 mars 2026 12 min 2

36887Schannel TLS 5 méthodes 12 min

Solution rapide

La solution la plus rapide est de mettre à jour Windows 8.1 pour activer la prise en charge de TLS 1.2 et désactiver les protocoles SSL/TLS obsolètes. Exécutez Windows Update, puis configurez les paramètres TLS via le registre pour résoudre les échecs de poignée de main avec les serveurs sécurisés modernes.

Comprendre l'ID d'événement Schannel 36887

L'ID d'événement Schannel 36887 représente une défaillance critique de la poignée de main TLS qui est devenue particulièrement courante sur les systèmes Windows 8.1. Cette erreur se produit lorsque le fournisseur de support de sécurité Secure Channel (Schannel) reçoit un code d'alerte fatal 40 d'un serveur distant, indiquant une défaillance de la poignée de main lors de la négociation TLS.

La cause principale provient généralement de la configuration par défaut de Windows 8.1, qui privilégie les anciens protocoles TLS 1.0 et 1.1 alors que de nombreux serveurs modernes ont désactivé ces protocoles au profit de TLS 1.2 et des versions plus récentes. Lorsqu'un client Windows 8.1 tente d'établir une connexion sécurisée en utilisant un protocole obsolète, le serveur répond par une alerte fatale, déclenchant l'ID d'événement 36887.

Ce problème est devenu plus répandu après 2020 lorsque les principaux services web et organisations de normes de sécurité ont déprécié TLS 1.0 et 1.1 en raison de vulnérabilités de sécurité. Les utilisateurs de Windows 8.1 ont commencé à rencontrer des échecs de connexion généralisés aux sites bancaires, aux services cloud et à d'autres applications web sécurisées. Le problème est aggravé par le support de mise à jour limité de Windows 8.1, qui a pris fin en janvier 2023, laissant de nombreux systèmes sans mises à jour automatiques des protocoles TLS.

Diagnostic

Symptômes

L'ID d'événement 36887 apparaît à plusieurs reprises dans le journal des événements système
Message d'erreur : "Une alerte fatale a été reçue du point d'extrémité distant. Le code d'alerte fatale défini par le protocole TLS est 40"
Les navigateurs Web ne parviennent pas à se connecter aux sites Web HTTPS
Les applications utilisant des connexions sécurisées rencontrent des échecs intermittents
Timeouts de la poignée de main SSL/TLS lors de la connexion à des services sécurisés
Erreurs de validation de certificat dans les applications réseau

Analyse

Causes

Windows 8.1 utilisant par défaut les protocoles TLS 1.0/1.1 obsolètes tandis que les serveurs nécessitent TLS 1.2+
Support TLS 1.2 désactivé ou mal configuré dans le registre
Incompatibilités de suites de chiffrement entre le client et le serveur
Magasins de certificats obsolètes ou corrompus
Logiciels de sécurité tiers interférant avec les échanges TLS
Mises à jour Windows manquantes incluant des améliorations du protocole TLS
Date/heure système incorrecte causant des échecs de validation de certificat

Méthodes de résolution

Solutions

Activer la prise en charge de TLS 1.2 via le registre

Windows 8.1 nécessite une configuration manuelle du registre pour activer TLS 1.2 par défaut. Cette méthode met à jour la configuration Schannel pour prendre en charge les protocoles TLS modernes.

Avertissement : Sauvegardez votre registre avant d'apporter des modifications. Des modifications incorrectes peuvent causer une instabilité du système.

Appuyez sur Windows + R, tapez regedit, et appuyez sur Entrée
Accédez à HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Cliquez avec le bouton droit sur Protocols → Nouveau → Clé, nommez-la TLS 1.2
Cliquez avec le bouton droit sur TLS 1.2 → Nouveau → Clé, nommez-la Client
Cliquez avec le bouton droit sur Client → Nouveau → Valeur DWORD (32 bits), nommez-la Enabled
Double-cliquez sur Enabled, définissez les données de la valeur sur 1, cliquez sur OK
Créez un autre DWORD nommé DisabledByDefault, définissez la valeur sur 0
Répétez les étapes 4-7 pour une clé Server sous TLS 1.2
Redémarrez l'ordinateur pour appliquer les modifications

Vérification : Exécutez netsh winhttp show advproxy et vérifiez que les connexions TLS 1.2 fonctionnent en testant les sites HTTPS.

Installer les mises à jour TLS de Windows 8.1

Microsoft a publié des mises à jour spécifiques pour Windows 8.1 afin d'améliorer la prise en charge de TLS et de corriger les problèmes de Schannel. Installez ces mises à jour critiques pour résoudre les problèmes de compatibilité des protocoles.

Appuyez sur Windows + I pour ouvrir les Paramètres du PC
Cliquez sur Mise à jour et récupération → Windows Update
Cliquez sur Rechercher des mises à jour et attendez la fin de l'analyse
Installez toutes les mises à jour disponibles, en particulier les mises à jour de sécurité
Téléchargez et installez KB3140245 (Correctif facile pour TLS 1.2) depuis le Catalogue Microsoft Update si non installé automatiquement
Ouvrez Panneau de configuration → Programmes → Afficher les mises à jour installées
Vérifiez que KB3140245 et d'autres mises à jour liées à TLS sont installées
Redémarrez l'ordinateur après l'installation de toutes les mises à jour

Méthode PowerShell alternative :

Get-WUInstall -AcceptAll -AutoReboot
Get-HotFix | Where-Object {$_.HotFixID -like "*3140245*"}

Vérification : Vérifiez l'historique de Windows Update et exécutez systeminfo pour confirmer que les correctifs installés incluent des améliorations TLS.

Réinitialiser la configuration Schannel

Des paramètres Schannel corrompus peuvent causer des erreurs TLS persistantes. Cette méthode réinitialise la configuration de Schannel aux valeurs par défaut et reconstruit le magasin de certificats.

Ouvrez l'invite de commande en tant qu'administrateur
Arrêtez les services dépendants :

net stop http
net stop cryptsvc
net stop bits

Effacez le cache des événements Schannel :

certlm.msc

Dans le Gestionnaire de certificats, développez Personnel → Certificats
Supprimez tous les certificats expirés ou invalides
Accédez à Autorités de certification racines de confiance → Certificats
Cliquez avec le bouton droit dans la liste des certificats → Toutes les tâches → Importer
Importez les derniers certificats racines depuis Windows Update
Réinitialisez Winsock et la pile TCP/IP :

netsh winsock reset
netsh int ip reset
ipconfig /flushdns

Redémarrez les services :

net start cryptsvc
net start bits
net start http

Redémarrez le système

Vérification : Vérifiez le Visualiseur d'événements pour de nouvelles erreurs Schannel et testez les connexions HTTPS pour vérifier que les échanges TLS se complètent avec succès.

Configurer les suites de chiffrement et les protocoles

Ajustez les suites de chiffrement disponibles et désactivez les protocoles non sécurisés pour garantir la compatibilité avec les serveurs modernes tout en maintenant la sécurité.

Ouvrez l'Éditeur de stratégie de groupe en appuyant sur Windows + R, en tapant gpedit.msc
Accédez à Configuration de l'ordinateur → Modèles d'administration → Réseau → Paramètres de configuration SSL
Double-cliquez sur Ordre des suites de chiffrement SSL
Sélectionnez Activé et configurez la liste des suites de chiffrement :

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256

Cliquez sur OK et fermez l'Éditeur de stratégie de groupe
Ouvrez l'Éditeur du Registre et accédez à :

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Désactivez SSL 2.0 et SSL 3.0 en créant des clés et en réglant Enabled sur 0
Assurez-vous que TLS 1.0, 1.1 et 1.2 sont correctement configurés
Appliquez les modifications de la stratégie de groupe :

gpupdate /force

Redémarrez l'ordinateur

Vérification : Utilisez nmap --script ssl-enum-ciphers -p 443 target.com pour vérifier la configuration des suites de chiffrement et tester les connexions à divers points de terminaison HTTPS.

Débogage et réparation avancés de Schannel

Pour des problèmes persistants, activez la journalisation détaillée de Schannel et effectuez des réparations système complètes pour identifier et résoudre les problèmes sous-jacents.

Activez la journalisation des événements Schannel dans le registre :

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Créez un DWORD EventLogging avec la valeur 7 pour une verbosité maximale
Exécutez l'outil de vérification des fichiers système et les réparations DISM :

sfc /scannow
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /RestoreHealth

Vérifiez les fichiers système corrompus et réparez-les
Réinitialisez les composants de Windows Update :

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

Reconstruisez complètement le magasin de certificats :

certlm.msc

Exportez les certificats importants, supprimez tous les certificats, puis réimportez-les depuis Windows Update
Testez avec des versions TLS spécifiques en utilisant PowerShell :

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Invoke-WebRequest -Uri "https://www.microsoft.com" -UseBasicParsing

Surveillez le Visualiseur d'événements pour des journaux Schannel détaillés afin d'identifier les points de défaillance spécifiques
Si les problèmes persistent, envisagez de passer à Windows 10/11 pour un meilleur support TLS

Vérification : Examinez les journaux Schannel détaillés dans le Visualiseur d'événements et confirmez que les connexions TLS 1.2 fonctionnent de manière cohérente sur plusieurs sites Web et applications sécurisés.

Validation

Vérification

Pour confirmer que la correction a fonctionné, effectuez ces étapes de vérification :

Ouvrez le Visualiseur d'événements et vérifiez le journal Système pour les nouvelles erreurs Schannel Event ID 36887 - elles devraient cesser d'apparaître
Testez les connexions HTTPS en utilisant PowerShell :

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Invoke-WebRequest -Uri "https://www.google.com" -UseBasicParsing

Vérifiez la prise en charge du protocole TLS en utilisant la commande :

netsh winhttp show advproxy

Vérifiez les paramètres du registre pour confirmer que TLS 1.2 est activé à HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Testez les connexions sécurisées dans les navigateurs web et vérifiez qu'aucune erreur de certificat ne se produit
Surveillez les performances du système pour vous assurer que les modifications n'ont pas eu d'impact négatif sur d'autres opérations réseau

Si ça ne fonctionne pas

Dépannage avancé

Si les méthodes ci-dessus n'ont pas résolu l'ID d'événement 36887, essayez ces étapes de dépannage avancées :

Vérifiez les interférences tierces : Désactivez temporairement les logiciels antivirus, les pare-feu et les clients VPN qui pourraient intercepter le trafic TLS. Certains logiciels de sécurité peuvent interférer avec les opérations Schannel.

Problèmes liés au matériel : Mettez à jour les pilotes de l'adaptateur réseau et vérifiez les mises à jour du firmware. Certains matériels réseau plus anciens peuvent avoir des problèmes de compatibilité avec les implémentations TLS modernes.

Synchronisation de l'heure : Assurez-vous que l'heure du système est précise en exécutant w32tm /resync. Les échecs de validation des certificats se produisent souvent lorsque l'heure du système est incorrecte.

Problèmes spécifiques aux applications : Si seules certaines applications déclenchent l'erreur, vérifiez leurs paramètres de configuration TLS. Certaines applications héritées peuvent nécessiter des paramètres de compatibilité spécifiques.

Infrastructure réseau : Travaillez avec les administrateurs réseau pour vérifier que les pare-feu, les proxies et les équilibreurs de charge prennent en charge TLS 1.2 et ne bloquent pas certaines suites de chiffrement.

Envisagez une mise à niveau : Windows 8.1 a atteint la fin du support en janvier 2023. Pour le meilleur support TLS et la sécurité, envisagez de passer à Windows 10 ou Windows 11, qui ont un support TLS 1.3 natif et de meilleures implémentations Schannel.

Questions Fréquentes

Que signifie le code d'alerte fatale TLS 40 dans l'ID d'événement 36887 ?+

Le code d'alerte fatal TLS 40 indique un échec de la poignée de main lors du processus de négociation TLS. Cela se produit lorsque le client et le serveur ne parviennent pas à s'accorder sur une version TLS, une suite de chiffrement prises en charge mutuellement, ou que la validation du certificat échoue. Sous Windows 8.1, cela se produit généralement lorsque le système tente d'utiliser TLS 1.0 ou 1.1 pour se connecter à des serveurs qui n'acceptent que TLS 1.2 ou supérieur. Le serveur envoie le code d'alerte 40 pour terminer la connexion, que Schannel enregistre comme l'ID d'événement 36887.

Pourquoi cette erreur n'apparaît-elle que sur Windows 8.1 et pas sur les versions plus récentes de Windows ?+

Windows 8.1 a été publié en 2013 lorsque TLS 1.0 et 1.1 étaient encore largement acceptés. Par défaut, Windows 8.1 privilégie ces anciens protocoles et nécessite une configuration manuelle pour activer TLS 1.2. Windows 10 et les versions ultérieures ont TLS 1.2 activé par défaut et incluent des mises à jour automatiques pour les améliorations du protocole TLS. De plus, Windows 8.1 a atteint la fin de son support en janvier 2023, ce qui signifie qu'il ne reçoit plus de mises à jour de sécurité qui résoudraient automatiquement les problèmes de compatibilité TLS.

Puis-je désactiver en toute sécurité SSL 2.0 et SSL 3.0 pour corriger cette erreur ?+

Oui, désactiver SSL 2.0 et SSL 3.0 n'est pas seulement sûr mais recommandé pour des raisons de sécurité. Ces protocoles ont des vulnérabilités connues et ne sont plus utilisés par les services web modernes. Les désactiver force Windows 8.1 à utiliser les protocoles TLS, ce qui peut aider à résoudre l'ID d'événement 36887. Cependant, vous devez également vous assurer que TLS 1.2 est correctement activé, sinon vous pourriez rencontrer des échecs de connexion aux sites qui ont désactivé TLS 1.0 et 1.1. Les modifications du registre dans la Méthode 4 montrent comment désactiver en toute sécurité ces protocoles obsolètes.

L'activation de TLS 1.2 affectera-t-elle les performances de mon système Windows 8.1 ?+

Activer TLS 1.2 sur Windows 8.1 peut avoir un impact minimal sur les performances du système en raison du traitement cryptographique supplémentaire requis pour des algorithmes de chiffrement plus forts. Cependant, cet impact est négligeable sur le matériel moderne et est compensé par les avantages en matière de sécurité et les améliorations de compatibilité. TLS 1.2 utilise des suites de chiffrement plus efficaces que les protocoles plus anciens, ce qui peut en fait améliorer les performances dans certains scénarios. La principale considération est de s'assurer que votre système dispose d'une puissance de traitement suffisante pour la surcharge de chiffrement, ce qui est rarement un problème sur les systèmes capables d'exécuter Windows 8.1.

Que dois-je faire si l'ID d'événement 36887 persiste après avoir essayé toutes les solutions ?+

Si l'ID d'événement 36887 persiste après avoir mis en œuvre toutes les solutions, le problème peut être lié à l'infrastructure réseau, à l'interférence de logiciels tiers ou à des limitations matérielles. Tout d'abord, testez les connexions à partir d'un réseau différent pour écarter les problèmes de pare-feu ou de proxy. Vérifiez si des applications spécifiques déclenchent l'erreur et contactez leurs fournisseurs pour des mises à jour de compatibilité avec Windows 8.1. Envisagez d'utiliser des outils de surveillance réseau comme Wireshark pour analyser le processus de poignée de main TLS et identifier où il échoue. En fin de compte, la mise à niveau vers Windows 10 ou 11 offre la solution la plus complète, car ces systèmes prennent en charge nativement les protocoles TLS modernes et bénéficient de mises à jour de sécurité continues.

Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.