ExpressVPN було засновано в 2009 році й діє під юрисдикцією Британських Віргінських островів, де відсутні закони про обов'язкове зберігання даних. У вересні 2021 року корпорація Kape Technologies придбала компанію за 936 мільйонів доларів — це найбільше придбання VPN-компанії в історії. Історія Kape є ключовою для оцінки ExpressVPN: з 2011 по 2018 рік компанія діяла під назвою Crossrider, керуючи платформою, яка впроваджувала рекламу в розширення браузерів. Symantec класифікував програмне забезпечення Crossrider як шкідливе, а Google ідентифікував його як таке, що розповсюджує потенційно небажані програми. Мажоритарний власник Kape Тедді Сагі у 1990-х роках відбував покарання у вигляді позбавлення волі за шахрайство з цінними паперами. Kape також володіє CyberGhost, PIA, ZenMate і, що особливо важливо, оглядовими сайтами vpnMentor та WizCase — які тепер ставлять VPN-сервіси Kape на перші позиції у своїх рейтингах.
Суперечка навколо Деніела Геріке додала ще один рівень проблем. Найнятий на посаду директора з інформаційних технологій у грудні 2019 року, Геріке раніше брав участь у Project Raven — операції уряду ОАЕ зі стеження, яка за допомогою експлойтів типу zero-click була спрямована проти громадян США, іноземних журналістів та правозахисників. Він був оштрафований Міністерством юстиції США на 335 000 доларів у рамках угоди про відстрочку обвинувачення. ExpressVPN визнав, що до найму знав ключові факти про нього, стверджуючи, що його досвід роботи з боку зловмисників покращує захисну безпеку. Едвард Сноуден публічно поставив під сумнів здоровий глузд компанії. Геріке залишив посаду в липні 2023 року.
На тлі цього корпоративного власника технічна інфраструктура безпеки ExpressVPN є справді вражаючою. TrustedServer повністю працює в оперативній пам'яті без жорстких дисків — кожне перезавантаження завантажує свіжий образ операційної системи з криптографічним підписом, а сервери проходять щотижневі цикли оновлень, які стирають усі попередні дані. Ця архітектура пройшла аудит від PwC (2019), Cure53 (2022) та KPMG (2022, 2023, 2025). Політика відсутності журналів отримала реальне підтвердження в 2017 році, коли турецька влада вилучила фізичний сервер під час розслідування вбивства й не отримала жодних користувацьких даних.
Протокол Lightway, розроблений усередині компанії та опублікований у відкритому доступі на GitHub, був переписаний з C на Rust у 2025 році для підвищення безпеки пам'яті. Lightway Turbo, представлений того ж року, використовує багатоканальне тунелювання та переміщення каналу даних на рівень ядра для досягнення швидкості до 1 479 Мбіт/с на Windows — хоча наразі це стосується лише Windows. Стандартний Lightway у незалежних тестах демонструє 200–300 Мбіт/с — конкурентоспроможний показник, але нижчий за NordLynx від NordVPN у більшості прямих порівнянь.
Постквантове шифрування з використанням ML-KEM (стандарт NIST) за замовчуванням розгорнуто як для Lightway, так і для WireGuard, що робить ExpressVPN одним із перших провайдерів, який впровадив PQ-захист одразу в кількох протоколах. Підтримку WireGuard було додано в серпні 2025 року разом із постквантовою інтеграцією.
Мережа серверів охоплює понад 3 000 серверів у більш ніж 105 країнах та понад 160 локаціях. ExpressVPN надійно обходить цензуру в Китаї, Ірані, ОАЕ, Росії та Саудівській Аравії — критична можливість, якої позбавлені багато конкурентів. Розблокування стримінгових сервісів є стабільно найкращим у галузі: підтверджено доступ до понад 20 бібліотек Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max та DAZN.
Значним порушенням безпеки став витік DNS у Windows при розділеному тунелюванні (CVE-2024-25728), який існував з травня 2022 по лютий 2024 року — протягом 21 місяця DNS-запити обходили VPN-тунель, коли було активовано розділене тунелювання. ExpressVPN оцінює, що постраждало менше 1% користувачів Windows. У відповідь були проведені два аналізи першопричин, замовлений тест на проникнення від Nettitude, а розділене тунелювання було тимчасово вимкнено до усунення проблеми.
У вересні 2025 року ціноутворення було реструктуровано на три рівні: Basic (2,44 долара на місяць за дворічними планами, 10 підключень), Advanced (4,49 долара на місяць, включає менеджер паролів та моніторинг особистих даних) і Pro (7,49 долара на місяць, включає виділену IP-адресу). Щомісячна ціна залишається найвищою в галузі — 12,99 долара. Способи оплати включають кредитні картки, PayPal, Bitcoin, Apple Pay та Google Pay із 30-денною гарантією повернення коштів.
Серед помітних відсутніх функцій — переспрямування портів (недоступне на жодному сервері), мульти-хоп маршрутизація та відкриті вихідні коди клієнтських програм — у відкритому доступі знаходиться лише основна бібліотека Lightway. Розділене тунелювання недоступне на iOS. Ці прогалини відчуваються гостріше з огляду на преміальну ціну ExpressVPN.
ExpressVPN проактивно вилучив усі фізичні сервери з Індії в червні 2022 року, відмовившись виконувати вимогу CERT-In щодо зберігання даних, і перейшов на віртуальні сервери в Сінгапурі та Великій Британії для індійських IP-адрес. Звіти про прозорість показують 529 урядових запитів у 2025 році та 2,44 мільйона скарг DMCA — при цьому жодних даних не було розкрито в жодному випадку.
Компанія отримала сертифікати ISO 27001, 9001 та 18295, а сертифікати ISO 27701 (конфіденційність) та ISO 42001 (штучний інтелект) заплановані на 2026 рік. Безкоштовний рівень EventVPN, запущений у листопаді 2025 року, працює на преміальній інфраструктурі з постквантовим захистом та без журналів — помітний контраст із більшістю безкоштовних VPN-пропозицій.