vpn

Er ExpressVPN sikkert? Sikkerhed, privatliv og auditanalyse

Er ExpressVPN sikkert? Uafhængige auditresultater, krypteringsprotokoller, jurisdiktionsanalyse, kill switch-test og verificering af ingen-logpolitik.

VPN.com Editorial Team · ·9 min læsetid

Er ExpressVPN sikkert? En dybdegående sikkerhedsanalyse

ExpressVPN opnår en tillidsscore på 85/100 baseret på verificerede ingen-log-audits, AES-256-kryptering og RAM-only servere i 105 lande. Det opererer under British Virgin Islands-jurisdiktion, uden for 14 Eyes-overvågningsalliancerne. Flere uafhængige audits af KPMG og Cure53 bekræfter, at ingen-log-påstandene holder under nøje granskning.

Jurisdiktion: Hvorfor British Virgin Islands betyder noget

ExpressVPN er registreret på British Virgin Islands, et selvstyrende britisk oversøisk territorium. BVI har ingen obligatoriske regler om dataopbevaring for VPN-udbydere. Denne enkelt kendsgerning præger, hvordan ExpressVPN reagerer på myndigheders anmodninger om data.

BVI befinder sig uden for 5 Eyes-, 9 Eyes- og 14 Eyes-efterretningsdelingsalliancerne. Udenlandske myndigheders anmodninger skal passere gennem BVI’s High Court, inden de når ExpressVPN. BVI har ingen juridisk forpligtelse til direkte at efterkomme udenlandske stævninger eller overvågningsordrer.

Denne jurisdiktionsmæssige fordel viste sig reel i 2017. Tyrkiske myndigheder beslaglagde en ExpressVPN-server under en politisk efterforskning. Serveren indeholdt nul brugerdata, hvilket bekræftede, at ingen-log-politikken virkede under faktisk myndighedspres.

Historik over uafhængige audits

ExpressVPN har gennemført flere tredjeparts-sikkerhedsaudits end de fleste konkurrenter. Hvert audit undersøgte forskellige aspekter af tjenestens fortroligheds- og sikkerhedspåstande.

KPMG-audits af ingen-log-politikken

KPMG auditerede ExpressVPNs ingen-log-politik i 2022 og igen i 2024. Begge audits bekræftede, at ExpressVPNs TrustedServer-teknologi ikke gemmer aktivitetslogfiler, forbindelseslogfiler eller IP-adresser. KPMG testede produktionsservere og interne systemer for at verificere disse påstande uafhængigt.

Cure53-sikkerhedsaudits

Cure53, et respekteret tysk cybersikkerhedsfirma, har auditeret ExpressVPN flere gange. I 2019 undersøgte Cure53 browserudvidelserne og fandt ingen kritiske sårbarheder. De auditerede Lightway-protokollen i 2021 og bekræftede, at den kryptografiske implementering var solid. Et audit i 2022 gennemgik TrustedServer-infrastrukturen og vurderede den som stærk.

PwC-audit

PricewaterhouseCoopers gennemførte et tidligere ingen-log-audit i 2019. PwC verificerede, at ExpressVPNs serverkonfiguration matchede den offentlige privatlivspolitik. Dette markerede et af de første større audits, som ExpressVPN bestilte.

ExpressVPN offentliggør resuméer af alle auditresultater på sin hjemmeside. De fulde Cure53-rapporter er offentligt tilgængelige, hvilket viser en over gennemsnittet gennemsigtighed for VPN-branchen.

Logningspolitik: Hvad der gemmes, og hvad der ikke gemmes

ExpressVPNs privatlivspolitik angiver tydeligt, hvilke data der indsamles. Det er vigtigere at forstå de konkrete detaljer end at fokusere på marketingpåstande.

Data ExpressVPN IKKE gemmer

ExpressVPN logger ikke din browsinghistorik, trafikdestination, DNS-forespørgsler eller IP-adresse. Det registrerer ikke forbindelsestidsstempler, sessionslængde eller tildelte VPN-IP-adresser. Indholdet af dine kommunikationer passerer ikke igennem noget logningssystem.

Data ExpressVPN GEMT

ExpressVPN indsamler aggregerede forbindelsesdata: hvilken app-version du bruger, hvilken serverlokation du valgte (ikke den specifikke server), og det samlede daglige båndbreddeforbrug. Disse data kan ikke identificere individuelle brugere eller knytte aktivitet til specifikke konti. Disse oplysninger bruges til at opretholde serverkapaciteten på tværs af dets 3.000+ servernetværk.

Din konto-e-mail, betalingsoplysninger og supportbillethistorik gemmes til faktureringsformål. Brugere, der ønsker maksimal anonymitet, kan betale med Bitcoin eller bruge en midlertidig e-mailadresse.

Krypteringsstandarder og protokoller

ExpressVPN bruger AES-256-GCM-kryptering som standardniveau. Dette er det samme krypteringsniveau, som den amerikanske regering anvender til klassificerede oplysninger. Det kræver regnekraft, der ikke eksisterer i dag, at bryde AES-256.

Tilgængelige protokoller

ExpressVPN tilbyder 4 VPN-protokoller på tværs af sine apps. Lightway er dens proprietære protokol, bygget på wolfSSL og med ChaCha20 eller AES-256-kryptering. OpenVPN kører over både UDP og TCP med AES-256-GCM. IKEv2/IPSec er tilgængeligt på udvalgte platforme til hurtige mobilforbindelser.

Lightway fortjener særlig opmærksomhed. Dens kodebase indeholder cirka 2.000 linjer kode sammenlignet med OpenVPNs 70.000+. Færre linjer betyder færre potentielle sårbarheder og hurtigere forbindelsestider på under ét sekund. Cure53 auditerede Lightways kildekode, som ExpressVPN offentliggjorde som open source på GitHub.

Perfect Forward Secrecy

ExpressVPN forhandler en ny krypteringsnøgle for hver forbindelsessession. Selv hvis en angriber på en eller anden måde kompromitterede én sessionsnøgle, forbliver tidligere og fremtidige sessioner beskyttede. Denne funktion forhindrer masseretroaktiv dekryptering af optaget trafik.

Kill switch og DNS-lækbeskyttelse

ExpressVPN kalder sin kill switch for “Network Lock.” Den aktiveres som standard på Windows, Mac, Linux og routere. Network Lock blokerer al internettrafik, hvis VPN-forbindelsen uventet afbrydes.

Network Lock fungerer på firewallniveau, ikke applikationsniveau. Denne tilgang forhindrer lækager under korte genforbindelsesperioder, som kill switches på applikationsniveau ofte overser. Den tillader kun trafik gennem VPN-tunnelen og til ExpressVPNs DNS-servere.

ExpressVPN kører sin egen private, krypterede DNS på hver server. Dine DNS-forespørgsler berører aldrig tredjeparts DNS-udbydere som Google eller Cloudflare. Dette eliminerer risikoen for DNS-lækager på infrastrukturniveau frem for at stole på softwarerettelser.

Uafhængige testværktøjer viser konsekvent nul DNS-lækager, nul WebRTC-lækager og nul IPv6-lækager på tværs af ExpressVPNs større apps. Router-firmwaren udvider denne beskyttelse til alle enheder på dit netværk.

Tidligere sikkerhedshændelser

Intet sikkerhedsprodukt eksisterer uden granskning. ExpressVPN har stået over for to bemærkelsesværdige hændelser, der er værd at undersøge.

Tyrkiets serverbeslaglæggelse (2017)

Tyrkiske myndigheder undersøgte mordet på den russiske ambassadør Andrei Karlov. De beslaglagde en ExpressVPN-server på jagt efter mistænktes kommunikation. Serveren indeholdt nul brugbare data, hvilket validerede ingen-log-infrastrukturen under reelt pres fra retshåndhævende myndigheder.

Kape Technologies-opkøbet (2021)

Kape Technologies opkøbte ExpressVPN for cirka 936 millioner dollars i september 2021. Kape opererede tidligere som Crossrider, et selskab forbundet med distribution af adware inden omdøbning. Dette opkøb rejste legitime bekymringer blandt privatlivsfortalere.

ExpressVPN reagerede ved at opretholde sin uafhængige drift og BVI-jurisdiktion. Post-opkøbs-KPMG-audits i 2022 og 2024 bekræftede, at ingen-log-politikken forblev intakt. Selskabet beholdt sit ledelsesteam og fortsatte med at offentliggøre auditresultater gennemsigtigt. Brugere bør overvåge fremtidige audits for at verificere fortsat uafhængighed.

Unikke sikkerhedsfunktioner

ExpressVPN tilbyder flere sikkerhedsfunktioner, der adskiller det fra konkurrenter med lignende krypteringsstandarder.

TrustedServer-teknologi

Alle ExpressVPN-servere kører udelukkende på flyktig RAM, ikke harddiske. Servere indlæser et skrivebeskyttet billede ved hver opstart. Alle data slettes fuldstændigt ved hver servergenstart. Denne arkitektur gør vedvarende datalagring fysisk umulig på VPN-servere.

Threat Manager

Threat Manager blokerer apps og hjemmesider fra at kommunikere med kendte trackere og ondsindede servere. Det opererer på DNS-niveau på tværs af alle tilsluttede enheder. ExpressVPN opdaterer jævnligt sine blokeringslister baseret på trusselsefterretningsdata.

Express Keys (adgangskodeadministrator)

ExpressVPN inkluderer en indbygget adgangskodeadministrator kaldet Keys med alle abonnementer. Keys bruger nul-viden-kryptering, hvilket betyder, at ExpressVPN ikke kan tilgå dine gemte adgangskoder. Denne integration tilføjer praktisk sikkerhedsværdi ud over selve VPN-tunnelen.

Post-kvanteprotection

ExpressVPN har implementeret understøttelse af post-kvantkryptografi i sin Lightway-protokol. Denne funktion beskytter mod fremtidige kvantecomputerangreb, der kunne bryde nuværende krypteringsstandarder. Få VPN-udbydere har implementeret denne beskyttelse pr. den seneste test.

FAQ

Gemmer ExpressVPN logfiler?

ExpressVPN gemmer ikke aktivitetslogfiler, forbindelseslogfiler, IP-adresser eller browsinghistorik. Det indsamler minimale aggregerede data som app-version og valg af serverlokation til netværksvedligeholdelse. KPMG- og PwC-audits har uafhængigt verificeret disse ingen-log-påstande over flere år.

Er ExpressVPN blevet hacket?

ExpressVPN har ikke lidt under et bekræftet databrud, der påvirkede brugeroplysninger. Den tyrkiske serverbeslaglæggelse i 2017 beviste, at ingen-log-systemet virker, fordi myndighederne ikke fik nul brugerdata. Dens TrustedServer RAM-only-arkitektur begrænser effekten af ethvert potentielt fysisk serverangreb.

Er ExpressVPN troværdigt?

ExpressVPN demonstrerer troværdighed gennem 5+ uafhængige audits, open source-protokolkode og en verificeret ingen-log-hændelse. Kape Technologies-ejerskabet rejser gyldige spørgsmål, som brugerne individuelt bør overveje. Den 30-dages pengene-tilbage-garanti giver brugerne mulighed for at teste tjenesten med minimal finansiel risiko.

Kan ExpressVPN se mine data?

ExpressVPN kan ikke se dine browsingdata på grund af AES-256 end-to-end-kryptering inden for VPN-tunnelen. TrustedServer-infrastrukturen forhindrer, at data skrives til disk på en server. Selv hvis det blev tvunget af en retsordre, har ExpressVPN ingen gemt brugeraktivitetsdata at udlevere.