Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN grundades 2009 och verkar under jurisdiktionen i Brittiska Jungfruöarna, som saknar obligatoriska lagar om datalagring. I september 2021 förvärvade Kape Technologies företaget för 936 miljoner dollar – det största VPN-förvärvet i historien. Kapes historia är central för att utvärdera ExpressVPN: företaget drev verksamhet under namnet Crossrider från 2011 till 2018 och körde en plattform som injicerade annonser i webbläsartillägg. Symantec flaggade Crossriders mjukvara som skadlig kod och Google identifierade den som distributör av potentiellt oönskade applikationer. Kapes majoritetsägare Teddy Sagi avtjänade fängelsestraff för värdepappersbedrägeri på 1990-talet. Kape äger även CyberGhost, PIA, ZenMate och – avgörande nog – recensionssajterna vpnMentor och WizCase, som nu rankar Kapes egna VPN-tjänster på toppositionerna.

Kontroversen kring Daniel Gericke lade till ytterligare ett lager. Gericke anställdes som CIO i december 2019 och hade tidigare arbetat med Project Raven – en UAE-statlig övervakningsoperation som riktade sig mot amerikanska medborgare, utländska journalister och människorättsaktivister med hjälp av zero-click-exploiter. Han bötfälldes med 335 000 dollar av DOJ inom ramen för ett uppskjutet åtalavtal. ExpressVPN erkände att man kände till centrala fakta innan han anställdes och hävdade att hans bakgrund inom motståndarsidan förbättrade det defensiva säkerhetsarbetet. Edward Snowden ifrågasatte offentligt företagets omdöme. Gericke lämnade i juli 2023.

Mot bakgrund av detta ägarskap är ExpressVPNs tekniska säkerhetsinfrastruktur genuint imponerande. TrustedServer körs helt i RAM utan hårddiskar – varje omstart laddar en färsk, kryptografiskt signerad OS-avbildning, och servrarna genomgår veckovisa uppgraderingscykler som raderar all tidigare data. Denna arkitektur har reviderats av PwC (2019), Cure53 (2022) och KPMG (2022, 2023, 2025). No-logs-policyn fick verklig validering 2017 när turkiska myndigheter beslagtog en fysisk server under en mordutredning och återfann noll användardata.

Lightway-protokollet, utvecklat internt och publicerat som öppen källkod på GitHub, skrevs om från C till Rust 2025 för ökad minnessäkerhet. Lightway Turbo, som introducerades samma år, använder multi-lane-tunnling och datakanalsavlastning på kärnnivå för att uppnå hastigheter på upp till 1 479 Mbps på Windows – dock är detta för närvarande begränsat till Windows. Standard-Lightway levererar 200–300 Mbps i oberoende tester, vilket är konkurrenskraftigt men långsammare än NordVPNs NordLynx i de flesta direktjämförelser.

Post-kvantkryptering med ML-KEM (NIST-standarden) är aktiverad som standard på både Lightway och WireGuard, vilket gör ExpressVPN till en av de första leverantörerna som levererar PQ-skydd över flera protokoll. Stöd för WireGuard lades till i augusti 2025 tillsammans med post-kvantintegration.

Servernätverket omfattar 3 000+ servrar i 105+ länder och 160+ platser. ExpressVPN kringgår tillförlitligt censur i Kina, Iran, UAE, Ryssland och Saudiarabien – en kritisk förmåga som många konkurrenter saknar. Avblockering för streaming är konsekvent den starkaste i branschen, med bekräftad åtkomst till 20+ Netflix-bibliotek, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max och DAZN.

Ett betydande säkerhetsmisslyckande var DNS-läckan i Windows split tunneling (CVE-2024-25728), som förekom från maj 2022 till februari 2024 – 21 månader under vilka DNS-förfrågningar förbigick VPN-tunneln när split tunneling var aktiverat. ExpressVPN uppskattar att färre än 1 % av Windows-användarna påverkades. Åtgärderna inkluderade två analyser av grundorsaken, ett beställt penetrationstest av Nettitude samt tillfällig inaktivering av split tunneling tills problemet åtgärdats.

Prissättningen omstrukturerades i september 2025 till tre nivåer: Basic (2,44 dollar/månad på 2-årsplaner, 10 anslutningar), Advanced (4,49 dollar/månad, inkluderar lösenordshanterare och ID-övervakning) och Pro (7,49 dollar/månad, inkluderar dedikerad IP). Månadspriset är fortfarande det högsta i branschen på 12,99 dollar. Betalningsalternativ inkluderar kreditkort, PayPal, Bitcoin, Apple Pay och Google Pay med en 30-dagars pengarna-tillbaka-garanti.

Anmärkningsvärda avsaknader inkluderar portvidarebefordran (ej tillgänglig på någon server), multi-hop-routning och klientappar med öppen källkod – endast Lightway-kärnbiblioteket är offentligt. Split tunneling är inte tillgängligt på iOS. Dessa brister känns mer påtagliga med tanke på ExpressVPNs premiumprissättning.

ExpressVPN tog proaktivt bort alla fysiska servrar från Indien i juni 2022 istället för att följa CERT-In:s krav på datalagring och övergick till virtuella servrar i Singapore och Storbritannien för indiska IP-adresser. Transparensrapporter visar 529 myndighetsbegäranden 2025 och 2,44 miljoner DMCA-klagomål – utan att någon data lämnades ut i något fall.

Företaget har sökt ISO 27001-, 9001- och 18295-certifieringar, med ISO 27701 (integritet) och ISO 42001 (AI) som mål för 2026. En gratis EventVPN-nivå som lanserades i november 2025 körs på premiuminfrastruktur med post-kvantkydd och no-logs – en anmärkningsvärd kontrast mot de flesta gratis-VPN-erbjudanden.