Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN ble grunnlagt i 2009 og opererer under jurisdiksjonen til De britiske jomfruøyene, som ikke har obligatoriske lover om datalagring. I september 2021 kjøpte Kape Technologies selskapet for 936 millioner dollar – det største VPN-oppkjøpet i historien. Kapes bakgrunn er sentral for evalueringen av ExpressVPN: selskapet opererte som Crossrider fra 2011 til 2018 og drev en plattform som injiserte annonser i nettleserutvidelser. Symantec flagget Crossrider-programvare som skadelig programvare, og Google identifiserte den som distributør av potensielt uønskede applikasjoner. Kapes majoritetseier, Teddy Sagi, sonet fengselsstraff for verdipapirsvindel på 1990-tallet. Kape eier også CyberGhost, PIA, ZenMate og – ikke minst – anmeldelsesnettstedene vpnMentor og WizCase, som nå rangerer Kapes egne VPN-er øverst på sine lister.

Daniel Gericke-kontroversen la til et nytt lag. Ansatt som IT-direktør i desember 2019 hadde Gericke tidligere jobbet med Project Raven – en overvåkingsoperasjon for den emiratiske regjeringen som rettet seg mot amerikanske borgere, utenlandske journalister og menneskerettighetsaktivister ved hjelp av zero-click-utnyttelser. Han ble bøtelagt med 335 000 dollar av DOJ under en utsatt påtaleoverenskomst. ExpressVPN erkjente at de kjente til sentrale fakta før de ansatte ham, og argumenterte med at hans bakgrunn som motstander forbedret den defensive sikkerheten. Edward Snowden stilte offentlig spørsmål ved selskapets dømmekraft. Gericke sluttet i juli 2023.

Sett opp mot dette eierskapsbakteppet er ExpressVPNs tekniske sikkerhetsinfrastruktur genuint imponerende. TrustedServer kjører utelukkende i RAM uten harddisker – hver omstart laster inn et nytt, kryptografisk signert OS-bilde, og serverne gjennomgår ukentlige oppgraderingssykluser som sletter alle tidligere data. Denne arkitekturen er revidert av PwC (2019), Cure53 (2022) og KPMG (2022, 2023, 2025). Nulloggføringspolicyen fikk reell validering i 2017 da tyrkiske myndigheter beslagla en fysisk server under en etterforskningsak om drap og hentet ut null brukerdata.

Lightway-protokollen, utviklet internt og åpen kildekode på GitHub, ble skrevet om fra C til Rust i 2025 for bedre minnesikkerhet. Lightway Turbo, introdusert samme år, bruker flerfelts-tunnelering og datakanal-avlasting på kjernelnivå for å oppnå hastigheter på opptil 1 479 Mbps på Windows – selv om dette foreløpig kun er tilgjengelig på Windows. Standard Lightway leverer 200–300 Mbps i uavhengige tester, konkurransedyktig men tregere enn NordVPNs NordLynx i de fleste direkte sammenligninger.

Post-kvantefkryptering ved hjelp av ML-KEM (NIST-standarden) er distribuert som standard på både Lightway og WireGuard, noe som gjør ExpressVPN til en av de første leverandørene som tilbyr PQ-beskyttelse på tvers av flere protokoller. WireGuard-støtte ble lagt til i august 2025 sammen med post-kvante-integrasjon.

Servernettverket spenner over 3 000+ servere i 105+ land og 160+ lokasjoner. ExpressVPN omgår pålitelig sensur i Kina, Iran, UAE, Russland og Saudi-Arabia – en kritisk funksjonalitet som mange konkurrenter mangler. Strømmeavblokkering er konsekvent den sterkeste i bransjen, med bekreftet tilgang til 20+ Netflix-biblioteker, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max og DAZN.

Et betydelig sikkerhetssvikt var Windows split tunneling DNS-lekkasjen (CVE-2024-25728), til stede fra mai 2022 til februar 2024 – 21 måneder der DNS-forespørsler omgikk VPN-tunnelen når split tunneling var aktivert. ExpressVPN anslår at færre enn 1 % av Windows-brukerne ble berørt. Responsen inkluderte to rotårsaksanalyser, en bestilt penetrasjonstest fra Nettitude og midlertidig deaktivering av split tunneling inntil feilen var rettet.

Prissettingen ble restrukturert i september 2025 til tre nivåer: Basic (2,44 dollar/måned på 2-årsplaner, 10 tilkoblinger), Advanced (4,49 dollar/måned, inkluderer passordbehandler og ID-overvåking) og Pro (7,49 dollar/måned, inkluderer dedikert IP). Månedlig pris er fortsatt den høyeste i bransjen på 12,99 dollar. Betalingsalternativer inkluderer kredittkort, PayPal, Bitcoin, Apple Pay og Google Pay med en 30-dagers pengene-tilbake-garanti.

Merkbare mangler inkluderer videresending av porter (ikke tilgjengelig på noen server), multi-hop-ruting og åpen kildekode-klientapper – kun Lightway-kjernebiblioteket er offentlig. Split tunneling er ikke tilgjengelig på iOS. Disse manglene merkes sterkere ved ExpressVPNs premium-prisnivå.

ExpressVPN fjernet proaktivt alle fysiske servere fra India i juni 2022 i stedet for å overholde CERT-Ins pålegg om datalagring, og byttet til virtuelle servere i Singapore og Storbritannia for indiske IP-adresser. Åpenhetsrapporter viser 529 myndighetskrav i 2025 og 2,44 millioner DMCA-klager – uten at det ble utlevert data i noen av tilfellene.

Selskapet har søkt om ISO 27001-, 9001- og 18295-sertifiseringer, med ISO 27701 (personvern) og ISO 42001 (KI) som mål for 2026. Et gratis EventVPN-nivå lansert i november 2025 kjører på premium-infrastruktur med post-kvantefkryptering og nulloggføring – en bemerkelsesverdig kontrast til de fleste gratis VPN-tilbud.