Från utveckling till leverans är ExpressVPN:s programvara skyddad mot att skadlig kod införs tack vare ett valideringssystem vi själva tagit fram och som blivit oberoende granskat.

All production code requires at least one other human to act as a reviewer. This makes it much more difficult to add malicious code, either from insider threat or if an employee’s workstation is compromised.

For production machines, software dependencies are updated automatically via unattended upgrades.

To mitigate the threat of stolen keys being used to impersonate a VPN server, we require the ExpressVPN application to check in with our API servers to receive updated configuration settings. Our applications authenticate the servers they are connecting to by validating the private Certificate Authority (CA) signature and common name ensuring that an attacker cannot impersonate us.

Security and privacy threat modeling is incorporated into the design phase of any system. We use the MITRE ATT&CK framework to identify threats that can exist in our designs, consider ways to remove them, and apply sufficient measures to minimize potential risks.

Få {{bonus_days}} extra dagar gratis i alla abonnemang om du registrerar dig nu.

Missa inte det! Få {{bonus_months}} månader gratis när du skaffar ett 12-månadersabonnemang.

Home
Tillit

ExpressVPN Trust Center

ExpressVPN är i första hand ett integritetsföretag. Våra användare litar på att vi skyddar deras integritet med en branschledande kombination av hårdvara, mjukvara och mänsklig sinnrikhet. Här får du en inblick i hur vi gör oss förtjänta av den tilliten.

A dog walker, an adult and child, and someone with their phone.

Säkerhet hos ExpressVPN: våra 4 nyckelstrategier

Läs mer om hur vi jobbar med cybersäkerhet för att hålla våra system och användare skyddade.

1. Göra systemen svåra att kompromettera

Valideringssystem

Fysiska säkerhetsenheter

Vi använder offentlig-privata nyckelpar i flera olika säkerhetssyften, som tvåfaktorsautentisering, underskrift av Git commits och anslutning till en server via SSH. Vi minskar risken för att våra privata nycklar blir stulna genom att förvara dem på fysiska säkerhetsenheter. Det innebär att även om våra arbetsstationer utsätts för risk kan ingen angripare stjäla våra privata nycklar.

De här enheterna är skyddade med starka lösenfraser och programmerade att "förstena" sig själva efter flera misslyckade försök att låsa upp dem. Enheterna kräver fysisk beröring för att kunna användas, vilket innebär att skadlig programvara inte kan stjäla nycklarna utan att en riktig människa är inblandad.

Kodgranskning

Förhårdat säkerhetsskal (SSH)

Vi använder SSH som ett säkert sätt att få fjärråtkomst till våra viktigaste servrar. SSH-servrarna är programmerade att bara använda en uppsättning högsäkerhetschiffer, algoritmer för nyckelutväxling och MAC: ar. Vi tillåter heller inte anslutning som rot, och autentisering kan bara ske med hjälp av starka SSH-nycklar, aldrig med lösenord. Vi använder SSH-bastionservrar för att skilja produktionsinfrastrukturen från det öppna internet. De servrarna accepterar bara trafik från adresser på en IP-frilista.

All denna konfigurering är definierad i kod och därför referentgranskad och reproducerbar.

Snabba rättelser

2. Minimera potentiell skada

Nolltillit

I syfte att minska risken att stulna nycklar används för att komma åt en VPN-server under falsk identitet gör vi det obligatoriskt för ExpressVPN: s applikation att checka in med våra API-servrar för att få uppdaterade konfigurationsinställningar. Våra applikationer autentiserar de servrar de ansluter till genom att validera den privata Certificate Authority-signaturen (CA) och common name för att försäkra att ingen angripare kan utge sig för att vara en av oss.

Använder nollkunskapskryptering

När du använder ExpressVPN skyddas dina uppgifter av AES-256 avancerade matematik, samma krypteringsstandard som antagits av den amerikanska regeringen och som säkerhetsexperter världen över förlitar sig på för att skydda sekretessbelagd information. När du använder ExpressVPN:s lösenordshanterare (ExpressVPN Keys) skyddas dina känsliga uppgifter av nollkunskapskryptering så att ingen – inte ens vi – kan dekryptera informationen som lagras i Keys. Informationen dekrypteras endast på användarens enhet och kan endast dekrypteras med hjälp av krypteringsnycklar som genereras av användarens primära lösenord – som bara användaren känner till.

För att säkerställa att ExpressVPN:s dedikerade IP (DIP) erbjuder tillförlitlig teknisk säkerhet och integritet använder vi oss av IP-allokering med nollkunskap och anonyma tokens för att förhindra att ExpressVPN:s administratörer någonsin kan identifiera en användare med hjälp av dennes dedikerade IP-adress.

Säker design

Modellering av säkerhets- och integritetshot är en del av designfasen i alla system. Vi använder MITRE ATT&CK-ramverket för att identifiera hot som kan finnas i vår design, överväger olika sätt att få bort dem och vidtar lämpliga åtgärder för att minimera de potentiella riskerna.

Principen om lägsta behörighet

Alla våra användare, tjänster och procedurer följer principen om lägsta behörighet. Våra anställda har bara åtkomstbehörighet till de tjänster och produktionssystem som är nödvändiga för just deras roll. Våra kundtjänsthandläggare arbetar under två miljöer, en obegränsad för allmän surfaktivitet och en begränsad för att komma åt känsliga system. Sådana åtgärder minimerar inverkan och omintetgör målen hos angripare ifall de skulle lyckas ta över något av våra konton.

3. Minimera komprometteringstiden

Säkerhetsövervakning

Automatisk återuppbyggnad

4. Validera våra säkerhetskontroller

Intern validering: penetrationstester

Vi utför regelbundna penetrationstester för att utvärdera våra tjänster och vår mjukvara och kunna identifiera sårbarheter och svagheter. Våra testare har full tillgång till källkoden och använder en kombination av automatisk och manuell testning för att garantera en ingående utvärdering av våra tjänster och produkter.

Extern validering: säkerhetsgranskningar av tredje part

Vi tar hjälp av oberoende granskningsorgan för att utvärdera säkerheten hos våra tjänster och vår programvara. De uppdragen fungerar som en validering av att våra interna kontroller är effektiva i fråga om att minska säkerhetsrisker och erbjuder samtidigt våra kunder dokumentation på att de utsagor vi gör om våra produkters säkerhet faktiskt stämmer.

Se hela listan med revisionsrapporter

Innovation

Vi strävar hela tiden efter att möta och överträffa branschens säkerhetsstandarder, och vi driver en ständigt pågående innovationsprocess i en obeveklig jakt på nya sätt att skydda våra produkter och användare. Här lyfter vi fram två banbrytande tekniker som tagits fram av ExpressVPN.

Lightway: vårt protokoll för en överlägsen VPN-upplevelse

Lightway är ett VPN-protokoll byggt av ExpressVPN. Ett VPN-protokoll är den metod en enhet använder för att ansluta till en VPN-server. De flesta leverantörer använder samma standardprotokoll, men vi bestämde oss för att skapa ett med överlägsen prestanda som inte bara gör användarens VPN-upplevelse snabbare och mer pålitlig utan också säkrare.

Lightway använder wolfSSL, vars väletablerade kryptografi noga granskats av tredje part, även mot FIPS 140-2-standarden.
Lightway bibehåller perfekt framåtsekretess med dynamiska krypteringsnycklar som regelbundet rensas och återskapas.
Huvuddelen av Lightways bibliotek har öppen källkod vilket garanterar transparens och möjlighet till omfattande säkerhetsutvärdering.
Lightway inkluderar stöd för postkvant vilket skyddar användare mot angripare som har tillgång till både klassiska datorer och kvantdatorer. ExpressVPN är en av de första VPN-leverantörerna som använder postkvantskydd för att skydda användare i takt med att kvantdatavetenskapet utvecklas.

Lär dig mer om Lightway och läs vår utvecklarblogg för teknisk information från ExpressVPN mjukvaruutvecklare om hur Lightway fungerar och vad som gör det överlägset andra protokoll.

TrustedServer: alla data raderas vid varje omstart

TrustedServer är VPN-serverteknologi som vi tagit fram och som ger våra kunder en högre grad av säkerhet.

Den körs på volatilt minne, eller RAM. Operativsystem och appar skriver aldrig över på hårddiskar, som behåller alla data tills de raderas eller skrivs över. Eftersom RAM kräver ström för att lagra data raderas all information på en server varje gång strömmen slås av och på igen vilket hindrar både data och potentiella inkräktare från att stanna kvar på servern.
Den bidrar till ökad stringens. Med TrustedServer kör var och en av ExpressVPN:s servrar den senast uppdaterade programvaran istället för att varje server ska få en uppdatering vid olika tidpunkter efter behov. Det innebär att ExpressVPN vet exakt vad som körs på varje server, vilket minskar risken för sårbarhet eller felkonfigurering och ökar VPN-säkerheten avsevärt.
TrustedServer-teknologin har granskats av PwC.

Vill du ta en mer detaljerad titt på hur TrustedServer skyddar våra användare? Läs vår fördjupande artikel skriven av ingenjören som utformat systemet.

ExpressVPN Keys: Vår inbyggda lösenordshanterare

Keys är en fullfjädrad lösenordshanterare skapad av ExpressVPN. Keys har, precis som vårt VPN, en säker design som ger användarna kontroll över sina uppgifter. Vi har till och med publicerat en vitbok om säkerhet som beskriver Keys design och infrastruktur för full transparens.

Keys låter användarna generera, lagra och fylla i ett obegränsat antal lösenord och varnar dem om säkerhetshot och dataintrång. Allt som lagras i Keys skyddas av nollkunskapskryptering, vilket säkerställer att ingen – inte ens ExpressVPN – kan dekryptera den information våra användare lagrar. Keys ingår i ExpressVPN-apparna för iOS och Android och är tillgänglig som ett webbläsartillägg på datorer. Läs mer om Keys

ExpressVPN:s dedikerade IP: En statisk IP-adress med oöverträffad integritet

ExpressVPN:s dedikerade IP-tjänst tilldelar en unik IP-adress till endast en användare, vilket skapar en konsekvent online-identitet samtidigt som integriteten upprätthålls.

Normalt sett delar många användare samma IP-adress med ett VPN, vilket är en viktig del av anonymiseringsprocessen. När en dedikerad IP-adress tilldelas en enskild användare måste särskilda åtgärder vidtas för att säkerställa anonymitet.

Även om dagens lösningar medför säkerhets- och integritetsproblem som potentiellt kan avslöja en användares verkliga IP-adress har vi vidtagit extra försiktighetsåtgärder för att upprätthålla våra användares anonymitet, vilket förklaras i vår tekniska vitbok.

Vi använder ett anonymt tokenbaserat system för att särskilja betalningsuppgifter från den IP vi tilldelar en användare. Detta säkerställer att vi aldrig kan spåra en dedikerad IP tillbaka till användaren.

Oberoende säkerhetsgranskningar

Vi jobbar med att regelbundet utföra djupgående revisioner från tredje part av våra produkter. Här är en lista med externa revisioner som vi har utfört, i kronologisk ordning:

En andra granskning av ExpressVPN:s webbläsartillägg av Cure53 (juni 2024)
En revision av Windows-appen för att bekräfta åtgärder av ett DNS-problem relaterat till split tunnelling (april 2024)
En revision utförd av KPMG för att bedöma påståenden i vår integritetspolicy (december 2023)
Den andra revisionen av vårt VPN-protokoll Lightway, utförd av Cure53 (november 2022)
En granskning från Cure53 av ExpressVPN Keys webbläsartillägg (oktober 2022)
En granskning från Cure53 av ExpressVPN:s webbläsartillägg (oktober 2022)
Revision från KPMG av vår policy mot loggar (september 2022)
Säkerhetsrevision från Cure53 av vår app för iOS (september 2022)
Säkerhetsrevision från Cure53 av vår app för Android (augusti 2022)
Revision från Cure53 av vår app för Linux (augusti 2022)
Revision från Cure53 av vår app för macOS (juli 2022)
Säkerhetsrevision från Cure53 av vår Aircove-router (juli 2022)
Säkerhetsrevision från Cure 53 av TrustedServer, vår egna VPN-serverteknik (maj 2022)
Revision från F-Secure av vår app för Windows, v12 (april 2022)
Säkerhetsrevision från F-Secure av vår app för Windows, v10 (mars 2022)
Säkerhetsrevision från Cure53 av vårt VPN-protokoll Lightway (augusti 2021)
Revision från PwC Switzerland av vår process för buildverifiering (juni 2020)
En granskning från PwC Schweiz av vår efterlevnad av integritetspolicyn och vår egen teknik TrustedServer (juni 2019)
Säkerhetsrevision från Cure53 av vårt webbläsartillägg (november 2018)

Transparensrapport

Våra halvårsvisa transparensrapporter innehåller information om de förfrågningar om användaruppgifter som inkommit till vår juridiska avdelning.

Vi mottar regelbundet sådana förfrågningar, men vår policy att inte spara loggar säkerställer att vi aldrig har något att dela. Vi sparar inte och kommer aldrig att spara loggar över dina onlineaktiviteter eller personuppgifter, inklusive din surfhistorik, trafikdestination eller metadata, DNS-frågor eller IP-adresser du tilldelas när du ansluter till vårt VPN.

Vi kan aldrig tillhandahålla dessa kunduppgifter eftersom de helt enkelt inte existerar. Genom att publicera denna kompletterande information om de förfrågningar vi mottar strävar vi efter att skapa ännu större insyn i hur vi skyddar våra användare.

Förfrågningar om användaruppgifter

Tidsperiod: Januari – juni 2024

Typ	Mottagna förfrågningar
Förfrågningar från regeringar, brottsbekämpande myndigheter och privatpersoner	170
DMCA-förfrågningar	259 561
Fullmakter från statliga institutioner	2
Tystnadsorder	0
Nationella säkerhetsbrev	0

None of the requests resulted in the disclosure of user-related data.

Tidsperiod: Juli – december 2023

Typ	Mottagna förfrågningar
Förfrågningar från regeringar, brottsbekämpande myndigheter och privatpersoner	194
DMCA-förfrågningar	152 653
Fullmakter från statliga institutioner	0
Tystnadsorder	0
Nationella säkerhetsbrev	0

None of the requests resulted in the disclosure of user-related data.

Buggbelöning

Via vårt buggbelöningsprogram bjuder vi in säkerhetsforskare att testa våra system och få ekonomisk belöning för eventuella problem de upptäcker. Programmet ger oss tillgång till ett stort antal testare som regelbundet granskar vår infrastruktur och våra applikationer för att hitta säkerhetsproblem. Fynden utvärderas och avhjälps sedan för att se till att våra produkter är så säkra som möjligt.

Programmet omfattar sårbarheter i våra VPN-servrar, appar och webbläsartillägg, vår webbplats och annat. För personer som rapporterar buggar tillhandahåller vi safe harbor som följer globala best practices inom säkerhetsforskningen.

Vårt buggbelöningsprogram sköts av Bugcrowd. Följ den här länken för att läsa mer eller rapportera en bugg.

A bar graph with an arrow on the highest bar.

Branschledarskap

Vi sätter förvisso rigorösa regler för oss själva, men vårt arbete med att bygga ett mer privat och säkert internet går bortom det.

Därför samarbetar vi med hela VPN-branschen för att höja standarden och ge användarna bättre skydd. Detta bygger vidare på ExpressVPN:s tidigare arbete med transparensinitiativ i samarbete med {T2}Center for Democracy and Technology{ET2}.

Några av de innovationer vi har varit pionjärer inom har bidragit till att driva VPN-branschen framåt. Vi var först med att skapa TrustedServer, och andra har sedan dess följt vårt exempel och utvecklat liknande teknik. Lightway är ytterligare ett exempel på teknik vi har utvecklat från grunden, och vi hoppas att vi med hjälp av öppen källkod ska kunna påverka VPN-branschen som helhet.

Betydande integritetsinitiativ

Få reda på mer om hur vi skyddar våra användares integritet.

ioXT-certifiering

ExpressVPN är en av få VPN-appar som certifierats av ioXt Alliance för säkerhetsstandarder som gör att våra kunder kan använda våra tjänster med större tillförsikt.

Integritetsfunktioner i appen

Vi har lanserat en funktion i vår app för Android som vi kallar Protection Summary och som hjälper användare skydda sin integritet med praktiska riktlinjer.

Digital Security lab

Vi har lanserat Digital Security Lab för att kunna djupdyka i den riktiga världens integritetsproblem. Ta en titt på dess verktyg för läckagetestning som hjälper dig validera säkerheten hos ditt VPN.