Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN được thành lập vào năm 2009 và hoạt động dưới thẩm quyền pháp lý của Quần đảo Virgin thuộc Anh, nơi không có luật lưu giữ dữ liệu bắt buộc. Vào tháng 9 năm 2021, Kape Technologies mua lại công ty với giá 936 triệu đô la — thương vụ mua lại VPN lớn nhất trong lịch sử. Lịch sử của Kape là yếu tố then chốt để đánh giá ExpressVPN: công ty hoạt động với tên Crossrider từ năm 2011 đến 2018, vận hành một nền tảng chèn quảng cáo vào các tiện ích mở rộng trình duyệt. Symantec đã gắn cờ phần mềm Crossrider là phần mềm độc hại, và Google xác định nó phân phối các ứng dụng có thể không mong muốn. Cổ đông kiểm soát của Kape, Teddy Sagi, từng bị kết án tù vì tội gian lận chứng khoán vào những năm 1990. Kape cũng sở hữu CyberGhost, PIA, ZenMate và quan trọng hơn, các trang web đánh giá vpnMentor và WizCase — những trang này hiện xếp hạng các VPN của chính Kape ở vị trí đầu tiên.

Tranh cãi xung quanh Daniel Gericke càng làm phức tạp thêm vấn đề. Được thuê làm CIO vào tháng 12 năm 2019, Gericke trước đó đã tham gia Dự án Raven — một chiến dịch giám sát của chính phủ UAE nhằm vào công dân Mỹ, nhà báo nước ngoài và các nhà hoạt động nhân quyền bằng cách sử dụng các khai thác zero-click. Ông bị Bộ Tư pháp Mỹ phạt 335.000 đô la theo một thỏa thuận truy tố hoãn lại. ExpressVPN thừa nhận đã biết những thông tin then chốt trước khi thuê ông, với lập luận rằng nền tảng đối nghịch của ông giúp cải thiện bảo mật phòng thủ. Edward Snowden công khai đặt câu hỏi về khả năng phán đoán của công ty. Gericke rời đi vào tháng 7 năm 2023.

Đặt trong bối cảnh quyền sở hữu này, cơ sở hạ tầng bảo mật kỹ thuật của ExpressVPN thực sự đáng ấn tượng. TrustedServer hoạt động hoàn toàn trên RAM mà không có ổ cứng — mỗi lần khởi động lại sẽ tải một hình ảnh hệ điều hành mới được ký mật mã, và các máy chủ trải qua chu kỳ nâng cấp hàng tuần xóa sạch mọi dữ liệu trước đó. Kiến trúc này đã được kiểm toán bởi PwC (2019), Cure53 (2022) và KPMG (2022, 2023, 2025). Chính sách không lưu nhật ký được xác thực trong thực tế vào năm 2017 khi nhà chức trách Thổ Nhĩ Kỳ tịch thu một máy chủ vật lý trong một cuộc điều tra vụ ám sát và không thu được bất kỳ dữ liệu người dùng nào.

Giao thức Lightway, được phát triển nội bộ và công bố mã nguồn mở trên GitHub, đã được viết lại từ C sang Rust vào năm 2025 để đảm bảo an toàn bộ nhớ. Lightway Turbo, ra mắt cùng năm, sử dụng đường hầm đa làn và giảm tải kênh dữ liệu ở cấp độ nhân để đạt tốc độ lên đến 1.479 Mbps trên Windows — mặc dù hiện tại chỉ hỗ trợ Windows. Lightway tiêu chuẩn đạt 200-300 Mbps trong các bài kiểm tra độc lập, cạnh tranh nhưng chậm hơn NordLynx của NordVPN trong hầu hết các so sánh trực tiếp.

Mã hóa hậu lượng tử sử dụng ML-KEM (tiêu chuẩn NIST) được triển khai theo mặc định trên cả Lightway và WireGuard, khiến ExpressVPN trở thành một trong những nhà cung cấp đầu tiên tích hợp bảo vệ PQ trên nhiều giao thức. Hỗ trợ WireGuard được bổ sung vào tháng 8 năm 2025 cùng với tích hợp hậu lượng tử.

Mạng máy chủ trải rộng hơn 3.000 máy chủ tại hơn 105 quốc gia và hơn 160 địa điểm. ExpressVPN đáng tin cậy trong việc vượt qua kiểm duyệt tại Trung Quốc, Iran, UAE, Nga và Ả Rập Saudi — một tính năng thiết yếu mà nhiều đối thủ cạnh tranh thiếu. Khả năng mở khóa streaming luôn đứng đầu ngành, với quyền truy cập được xác nhận vào hơn 20 thư viện Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max và DAZN.

Một lỗi bảo mật nghiêm trọng là rò rỉ DNS trong split tunneling trên Windows (CVE-2024-25728), tồn tại từ tháng 5 năm 2022 đến tháng 2 năm 2024 — 21 tháng trong đó các yêu cầu DNS bỏ qua đường hầm VPN khi split tunneling được bật. ExpressVPN ước tính chưa đến 1% người dùng Windows bị ảnh hưởng. Phản hồi bao gồm hai phân tích nguyên nhân gốc rễ, một bài kiểm tra thâm nhập do Nettitude thực hiện theo ủy quyền, và tạm thời vô hiệu hóa split tunneling cho đến khi được khắc phục.

Cơ cấu giá được cải tổ vào tháng 9 năm 2025 thành ba gói: Basic (2,44 đô la/tháng với gói 2 năm, 10 kết nối), Advanced (4,49 đô la/tháng, thêm trình quản lý mật khẩu và giám sát danh tính) và Pro (7,49 đô la/tháng, thêm IP chuyên dụng). Giá theo tháng vẫn là cao nhất trong ngành ở mức 12,99 đô la. Các phương thức thanh toán bao gồm thẻ tín dụng, PayPal, Bitcoin, Apple Pay và Google Pay với bảo đảm hoàn tiền trong 30 ngày.

Các tính năng đáng chú ý còn thiếu bao gồm chuyển tiếp cổng (không có sẵn trên bất kỳ máy chủ nào), định tuyến multi-hop và ứng dụng client mã nguồn mở — chỉ có thư viện lõi Lightway là công khai. Split tunneling không có sẵn trên iOS. Những thiếu sót này càng nổi bật hơn ở mức giá cao cấp của ExpressVPN.

ExpressVPN chủ động gỡ bỏ tất cả máy chủ vật lý khỏi Ấn Độ vào tháng 6 năm 2022 thay vì tuân thủ quy định lưu giữ dữ liệu CERT-In, chuyển sang máy chủ ảo tại Singapore và Vương quốc Anh cho các địa chỉ IP Ấn Độ. Báo cáo minh bạch cho thấy 529 yêu cầu từ chính phủ trong năm 2025 và 2,44 triệu khiếu nại DMCA — với không có dữ liệu nào được tiết lộ trong bất kỳ trường hợp nào.

Công ty đã theo đuổi các chứng nhận ISO 27001, 9001 và 18295, với ISO 27701 (bảo mật) và ISO 42001 (AI) được nhắm đến vào năm 2026. Gói miễn phí EventVPN ra mắt vào tháng 11 năm 2025 chạy trên cơ sở hạ tầng cao cấp với bảo vệ hậu lượng tử và không lưu nhật ký — một sự tương phản đáng chú ý so với hầu hết các dịch vụ VPN miễn phí khác.