Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN werd opgericht in 2009 en opereert onder de jurisdictie van de Britse Maagdeneilanden, die geen verplichte wetgeving voor gegevensbewaring kennen. In september 2021 nam Kape Technologies het bedrijf over voor $936 miljoen — de grootste VPN-overname in de geschiedenis. De achtergrond van Kape is cruciaal bij het beoordelen van ExpressVPN: het bedrijf opereerde van 2011 tot 2018 onder de naam Crossrider en beheerde een platform dat advertenties injecteerde in browserextensies. Symantec classificeerde Crossrider-software als malware en Google identificeerde het als distributeur van potentieel ongewenste applicaties. Kape's meerderheidsaandeelhouder, Teddy Sagi, zat in de jaren negentig gevangenis wegens effectenfraude. Kape bezit ook CyberGhost, PIA, ZenMate en, cruciaal, de reviewsites vpnMentor en WizCase — die Kape's eigen VPN's nu in hun topposities plaatsen.

De controverse rond Daniel Gericke voegde een extra dimensie toe. Aangesteld als CIO in december 2019 had Gericke eerder gewerkt aan Project Raven — een surveillanceoperatie van de UAE-overheid die Amerikaanse burgers, buitenlandse journalisten en mensenrechtenactivisten targette met zero-click-exploits. Hij werd door het DOJ beboet met $335.000 in het kader van een uitgestelde vervolgingsovereenkomst. ExpressVPN erkende dat het vóór zijn aanstelling op de hoogte was van de belangrijkste feiten, en stelde dat zijn achtergrond als aanvaller de defensieve beveiliging verbeterde. Edward Snowden stelde publiekelijk vraagtekens bij het beoordelingsvermogen van het bedrijf. Gericke vertrok in juli 2023.

Afgezet tegen deze eigendomsachtergrond is de technische beveiligingsinfrastructuur van ExpressVPN werkelijk indrukwekkend. TrustedServer werkt volledig op RAM zonder harde schijven — elke herstart laadt een nieuw, cryptografisch ondertekend OS-image, en servers ondergaan wekelijkse upgradecycli die alle voorgaande data wissen. Deze architectuur is geauditeerd door PwC (2019), Cure53 (2022) en KPMG (2022, 2023, 2025). Het geen-logboeken-beleid kreeg in 2017 real-world validatie toen Turkse autoriteiten een fysieke server in beslag namen tijdens een moordonderzoek en nul gebruikersdata aantroffen.

Het Lightway-protocol, intern ontwikkeld en open-source gepubliceerd op GitHub, werd in 2025 herschreven van C naar Rust voor geheugensveiligheid. Lightway Turbo, in hetzelfde jaar geïntroduceerd, maakt gebruik van multi-lane-tunneling en datakanaaloffload op kernelniveau om snelheden tot 1.479 Mbps op Windows te bereiken — hoewel dit momenteel alleen beschikbaar is op Windows. Standaard Lightway levert 200-300 Mbps in onafhankelijke tests, competitief maar trager dan NordVPN's NordLynx in de meeste directe vergelijkingen.

Post-kwantumversleuteling met ML-KEM (de NIST-standaard) wordt standaard ingezet op zowel Lightway als WireGuard, waarmee ExpressVPN een van de eerste aanbieders is die PQ-bescherming via meerdere protocollen levert. WireGuard-ondersteuning werd in augustus 2025 toegevoegd, samen met post-kwantumintegratie.

Het servernetwerk omvat meer dan 3.000 servers in meer dan 105 landen en meer dan 160 locaties. ExpressVPN omzeilt betrouwbaar censuur in China, Iran, de UAE, Rusland en Saoedi-Arabië — een kritieke mogelijkheid die veel concurrenten missen. Het deblokkeren van streamingdiensten is consistent het sterkste in de industrie, met bevestigde toegang tot meer dan 20 Netflix-bibliotheken, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max en DAZN.

Een significante beveiligingsfout was het DNS-lek in Windows split tunneling (CVE-2024-25728), aanwezig van mei 2022 tot februari 2024 — 21 maanden waarin DNS-verzoeken de VPN-tunnel omzeilden wanneer split tunneling was ingeschakeld. ExpressVPN schat dat minder dan 1% van de Windows-gebruikers werd getroffen. De reactie omvatte twee oorzaakanalyses, een opgedragen penetratietest door Nettitude en het tijdelijk uitschakelen van split tunneling tot het probleem was opgelost.

De prijsstructuur werd in september 2025 herzien naar drie niveaus: Basic ($2,44/maand bij 2-jarige abonnementen, 10 verbindingen), Advanced ($4,49/maand, voegt wachtwoordbeheerder en ID-monitoring toe) en Pro ($7,49/maand, voegt een vast IP-adres toe). De maandelijkse prijs blijft de hoogste in de industrie met $12,99. Betaalopties omvatten creditcards, PayPal, Bitcoin, Apple Pay en Google Pay, met een geld-terug-garantie van 30 dagen.

Opvallende ontbrekende functies zijn port forwarding (niet beschikbaar op welke server dan ook), multi-hop-routing en open-source client-apps — alleen de Lightway-kernbibliotheek is openbaar. Split tunneling is niet beschikbaar op iOS. Deze tekortkomingen wegen zwaarder door bij het premium prijsniveau van ExpressVPN.

ExpressVPN verwijderde in juni 2022 proactief alle fysieke servers uit India in plaats van te voldoen aan het CERT-In-gegevensbewaaringsmandaat, en schakelde over op virtuele servers in Singapore en het VK voor Indiase IP-adressen. Transparantierapporten tonen 529 overheidsverzoeken in 2025 en 2,44 miljoen DMCA-klachten — waarbij in geen enkel geval data werd verstrekt.

Het bedrijf streeft naar ISO 27001-, 9001- en 18295-certificeringen, met ISO 27701 (privacy) en ISO 42001 (AI) gepland voor 2026. Een gratis EventVPN-laag, gelanceerd in november 2025, draait op premium-infrastructuur met post-kwantumbeveiliging en geen-logboeken-beleid — een opvallend contrast met de meeste gratis VPN-aanbiedingen.