ExpressVPN zostało założone w 2009 roku i działa pod jurysdykcją Brytyjskich Wysp Dziewiczych, gdzie nie obowiązują przepisy o obowiązkowym przechowywaniu danych. We wrześniu 2021 roku Kape Technologies przejęło firmę za 936 milionów dolarów — największe przejęcie w historii branży VPN. Historia Kape jest kluczowa dla oceny ExpressVPN: firma działała pod nazwą Crossrider od 2011 do 2018 roku, prowadząc platformę wstrzykującą reklamy do rozszerzeń przeglądarek. Symantec oznaczył oprogramowanie Crossrider jako złośliwe, a Google zidentyfikował je jako dystrybuujące potencjalnie niechciane aplikacje. Większościowy właściciel Kape, Teddy Sagi, odbył karę więzienia za oszustwa na rynku papierów wartościowych w latach 90. Kape jest również właścicielem CyberGhost, PIA, ZenMate, a co kluczowe — serwisów recenzenckich vpnMentor i WizCase, które umieszczają teraz własne VPN-y Kape na czołowych miejscach w swoich rankingach.
Kontrowersje wokół Daniela Gericke dodały kolejną warstwę do tych wątpliwości. Zatrudniony na stanowisku dyrektora ds. informatyki w grudniu 2019 roku, Gericke wcześniej pracował przy Projekcie Raven — operacji inwigilacyjnej rządu UAE, której celem byli obywatele USA, zagraniczni dziennikarze i aktywiści na rzecz praw człowieka, z wykorzystaniem exploitów niewymagających interakcji użytkownika. Został ukarany grzywną w wysokości 335 000 dolarów przez DOJ na podstawie umowy o odroczeniu ścigania. ExpressVPN przyznało, że przed jego zatrudnieniem znało kluczowe fakty z jego przeszłości, argumentując, że doświadczenie zdobyte po stronie atakujących poprawia defensywne bezpieczeństwo. Edward Snowden publicznie zakwestionował ocenę sytuacji przez firmę. Gericke odszedł w lipcu 2023 roku.
Na tle tej struktury właścicielskiej techniczna infrastruktura bezpieczeństwa ExpressVPN jest naprawdę imponująca. TrustedServer działa wyłącznie w pamięci RAM, bez dysków twardych — każde ponowne uruchomienie wczytuje świeży, kryptograficznie podpisany obraz systemu operacyjnego, a serwery przechodzą tygodniowe cykle aktualizacji usuwające wszystkie wcześniejsze dane. Ta architektura została poddana audytom przez PwC (2019), Cure53 (2022) oraz KPMG (2022, 2023, 2025). Polityka braku logów uzyskała rzeczywiste potwierdzenie w 2017 roku, gdy tureckie władze zajęły fizyczny serwer podczas śledztwa w sprawie zabójstwa i nie odzyskały żadnych danych użytkowników.
Protokół Lightway, opracowany wewnętrznie i udostępniony jako open-source na GitHub, został przepisany z C na Rust w 2025 roku w celu poprawy bezpieczeństwa pamięci. Lightway Turbo, wprowadzony w tym samym roku, wykorzystuje wielotorowe tunelowanie i odciążenie kanału danych na poziomie jądra systemu, osiągając prędkości do 1 479 Mbps na systemie Windows — choć funkcja ta jest obecnie dostępna wyłącznie na Windows. Standardowy Lightway osiąga 200–300 Mbps w niezależnych testach, co jest wynikiem konkurencyjnym, ale wolniejszym niż NordLynx od NordVPN w większości bezpośrednich porównań.
Szyfrowanie postkwantowe z wykorzystaniem ML-KEM (standard NIST) jest domyślnie wdrożone zarówno w protokole Lightway, jak i WireGuard, co czyni ExpressVPN jednym z pierwszych dostawców oferujących ochronę postkwantową w kilku protokołach jednocześnie. Wsparcie dla WireGuard zostało dodane w sierpniu 2025 roku wraz z integracją postkwantową.
Sieć serwerów obejmuje ponad 3 000 serwerów w ponad 105 krajach i ponad 160 lokalizacjach. ExpressVPN niezawodnie omija cenzurę w Chinach, Iranie, Emiratach Arabskich Zjednoczonych, Rosji i Arabii Saudyjskiej — kluczowa zdolność, której wielu konkurentom brakuje. Odblokowywanie streamingu jest konsekwentnie najskuteczniejsze w branży, z potwierdzonym dostępem do ponad 20 bibliotek Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max i DAZN.
Poważną usterką bezpieczeństwa był wyciek DNS w funkcji split tunelingu systemu Windows (CVE-2024-25728), obecny od maja 2022 do lutego 2024 roku — przez 21 miesięcy zapytania DNS omijały tunel VPN przy włączonym split tunelingu. ExpressVPN szacuje, że dotknęło to mniej niż 1% użytkowników systemu Windows. W odpowiedzi przeprowadzono dwie analizy przyczyn źródłowych, zlecono test penetracyjny firmie Nettitude oraz tymczasowo wyłączono split tuneling do czasu naprawienia błędu.
Struktura cenowa została zreorganizowana we wrześniu 2025 roku w trzy poziomy: Basic (2,44 USD miesięcznie przy planie 2-letnim, 10 połączeń), Advanced (4,49 USD miesięcznie, zawiera menedżer haseł i monitorowanie tożsamości) oraz Pro (7,49 USD miesięcznie, zawiera dedykowany adres IP). Miesięczna cena pozostaje najwyższa w branży i wynosi 12,99 USD. Metody płatności obejmują karty kredytowe, PayPal, Bitcoin, Apple Pay i Google Pay, z 30-dniową gwarancją zwrotu pieniędzy.
Do istotnych braków należą: brak przekierowania portów (niedostępne na żadnym serwerze), brak routingu multi-hop oraz brak aplikacji klienckich w formie open-source — publicznie dostępna jest jedynie podstawowa biblioteka Lightway. Split tuneling jest niedostępny na iOS. Te braki są szczególnie odczuwalne przy premium cenie ExpressVPN.
ExpressVPN proaktywnie usunęło wszystkie fizyczne serwery z Indii w czerwcu 2022 roku, zamiast podporządkować się nakazowi przechowywania danych CERT-In, przechodząc na serwery wirtualne w Singapurze i Wielkiej Brytanii dla indyjskich adresów IP. Raporty przejrzystości wskazują na 529 wniosków rządowych w 2025 roku i 2,44 miliona skarg DMCA — przy zerowym ujawnieniu danych w żadnym przypadku.
Firma uzyskała certyfikaty ISO 27001, 9001 i 18295, a certyfikaty ISO 27701 (prywatność) i ISO 42001 (AI) są planowane na 2026 rok. Bezpłatna usługa EventVPN, uruchomiona w listopadzie 2025 roku, działa na infrastrukturze premium z ochroną postkwantową i polityką braku logów — stanowiąc wyraźny kontrast wobec większości bezpłatnych ofert VPN.