ExpressVPN je jedním z nejstarších a nejznámějších hráčů na trhu s VPNkami. Funguje od roku 2009, má desítky milionů uživatelů a vlastní protokol Lightway. Marketing má skvěle udělaný. Ale co říkají reálné testy z hlediska soukromí a bezpečnosti? Prošel jsem sérii svých testů zaměřených na DNS leak, WebRTC, ochranu IP, IPv6 a funkčnost kill switche.
A přidal jsem i kontext, který většina recenzí záměrně přeskakuje (což nemám rád).
BTW: zde si můžete přečíst výsledky mého testování rychlosti ExpressVPN (10 lokalit)
Moje testovací prostředí pro ExpressVPN: jak obstála v soukromí?
Testy jsem prováděl 20. února 2026 na MacBook Pro M1 Max, připojený přes WiFi (100/20 Mbps) v Praze, ČR. Použitý server byl Czech Republic – Praha (Express je nemá v aplikaci pro mac OS číslované, ale vidíte jak rotují IP adresy), protokol Lightway (výchozí). Jako testovací nástroje jsem použil whatismyipaddress.com, dnsleaktest.com, browserleaks.com/webrtc a samozřejmě ipv6leak.com.
Jaké nástroje jsem pro testování ExpressVPN použil?
| Nástroj | Co testuje | Proč jsem ho vybral |
|---|---|---|
| whatismyipaddress.com | IPv4, IPv6, ISP, geolokace | Přehledný výstup, zobrazí i ISP a region |
| browserleaks.com/webrtc | WebRTC leak | Odhalí Local i Public IP přes WebRTC API |
| dnsleaktest.com | DNS leak – Extended test | Zlatý standard pro DNS testy, 6 nezávislých kol |
| ipv6leak.com | IPv6 únik | Specializovaný nástroj pouze na IPv6 |
Všechny testy jsem prováděl v Safari na macOS s VPN aktivní, bez rozšíření.
Prohlášení: Veškeré testování i samotné předplatné si hradím ze svých vlastních peněz. Recenze proto není nijak sponzorovaná ani ovlivněná výrobcem a vychází čistě z mých reálných zkušeností a naměřených dat. Více informací zde.
1) IP adresa – skrytá, ISP změněn zcela správně
První test: zobrazí web moji skutečnou IP, nebo tu od ExpressVPN?
S připojenou ExpressVPN se na whatismyipaddress.com zobrazila IP adresa 82.118.30.4 patřící společnosti Heficed Net v Praze. Skutečná domácí IP nebyla vidět. IPv6 nebyla detekována vůbec.
| S VPN | |
|---|---|
| IPv4 | 82.118.30.4 (Heficed Net, Praha) |
| IPv6 | Nedetekováno ✅ |
| ISP | Heficed Net |
| Geolokace | Praha, Czechia |
Rozdíl třeba oproti NordVPN: tam byl ISP PacketHub S.A., tady Heficed Net. Tzn, že jde o jinou síťovou infrastrukturu kterou ExpressVPN v ČR využívá.
2) DNS leak – čistý, ISP IPXO
DNS leak test na dnsleaktest.com přinesl čistý výsledek. Žádný ISP DNS server se neobjevil.
| Kolo | Počet serverů |
|---|---|
| 1 | 6 |
| 2 | 5 |
| 3 | 6 |
| 4 | 6 |
| 5 | 6 |
| 6 | 6 |
Všechny DNS servery mají ISP IPXO, lokace Praha, Czech Republic. IPXO je síťová infrastruktura (IP leasing provider) kterou ExpressVPN používá pro své české servery. Žádný ISP server se neobjevil tzn. že DNS je čistý.
3) WebRTC – No Local IP Leak, ale s varováním!
WebRTC test na browserleaks.com přinesl maličko smíšený výsledek.
| Hodnota | |
|---|---|
| Remote IPv4 (WebRTC) | 82.118.30.44 |
| IPv6 | nedetekována ✅ |
| Local IP | skrytá ✅ |
| WebRTC Leak Test | No Local IP Leak ✅ |
| Varování | ⚠️ WebRTC IP doesn’t match your Remote IP |
Výsledek „No Local IP Leak“ znamená, že skutečná lokální IP adresa neunikla. Varování o neshodě IP (82.118.30.44 vs 82.118.30.4) je způsobeno tzv. load balancingem (stejně to používá třeba IPVanish).
ExpressVPN používá v ČR pool IP adres ze stejného rozsahu 82.118.30.x a různé dotazy mohou dostat různou IP ze stejného poolu. Nejde o bezpečnostní problém, ale varování se zobrazilo – na rozdíl od NordVPN který ho nezobrazil vůbec a vše tam bylo 100% v pořádku. Ale jak říkám je to pouze load balancing nikoliv bezpečností riziko!
4) Test IPv6 leak – čistý výsledek
Samostatný test na ipv6leak.com potvrdil spolehlivou blokaci IPv6.
„Your IPv6 is not leaking“ – ExpressVPN blokuje IPv6 spolehlivě.
5) Kill switch (u ExpressVPN se to jmenuje Network Lock) – globální a 100% funkční
Tady je jeden z největších rozdílů oproti NordVPN či IPVanish. ExpressVPN na macOS nabízí Network Lock tj. plnohodnotný globální kill switch, který blokuje veškerý internetový provoz při výpadku VPN.
Test probíhal stejně: nepřetržitý ping na 8.8.8.8, vypnutí WiFi.
icmp_seq 4–12 → normální provoz (25–156 ms)
icmp_seq 13+ → ping: sendto: No route to host + Request timeout
Reakce okamžitá! Identická s NordVPN. Aplikace zároveň zobrazila „Reconnecting – Still trying to connect“ – ExpressVPN se automaticky pokouší obnovit připojení, ale nic ven do internetu ani paket neunikne!
Co se děje pod kapotou? Systémový log z mého macOS
Příkaz log stream --predicate 'process contains "ExpressVPN"' --info zachytí veškerou interní komunikaci ExpressVPN v reálném čase přímo v systémových lozích macOS. Screenshot ukazuje co přesně se stalo v momentě odpojení VPN:
Systémový log zaznamenal sérii událostí nw_endpoint_handler_cancel a nw_association_schedule_deactivation – ExpressVPN aktivně zrušil všechna síťová spojení najednou. Viditelné jsou IPv4 endpointy na portu 443 (Lightway TCP) které byly jeden po druhém ukončeny. Poslední záznam reporting state cancelled a Connection 160: done potvrzují kompletní uzavření spojení.
Tohle je přímý technický důkaz toho, co ping test ukázal na úrovni uživatele a Network Lock nečeká, nezpomaluje a nepropouští žádný provoz. Systém okamžitě ruší všechna aktivní spojení v momentě výpadku VPN tunelu.
Network Lock nastavení (aneb Kill Switch funkce)
V Preferences aplikace ExpressVPN klikněte na → General a pak máte dvě volby:
- ✅ Stop all internet traffic if the VPN disconnects unexpectedly – zapnuto
- ✅ Allow access to devices on the local network (such as printers or file servers) – zapnuto
Na rozdíl od NordVPN na macOS (který nabízí pouze Apps Kill Switch pro vybrané aplikace) je Network Lock u ExpressVPN globální! Blokuje tedy celý internet, ne jen vybrané aplikace. A navíc umožňuje zachovat přístup k lokální síti (tiskárny, NAS). To je výrazná výhoda.
Infrastruktura serverů ExpressVPN – kolik jich je v ČR
Na webu je přehled podporovaných protokolů pro každou lokalitu. Czech Republic podporuje všechny dostupné protokoly, ale už se mi nepodařilo zjistit nikde kolik přesně těch serverů v ČR je :(.
| Protokol | Czech Republic |
|---|---|
| Lightway UDP | ✅ |
| Lightway TCP | ✅ |
| WireGuard | ✅ |
| OpenVPN UDP | ✅ |
| OpenVPN TCP | ✅ |
| IKEv2 | ✅ |
Na rozdíl od NordVPN (kde obfuskované servery vyžadují přepnutí protokolu z NordLynx na OpenVPN) ExpressVPN v ČR podporuje všechny protokoly včetně WireGuard a obou variant OpenVPN bez nutnosti ručního přepínání.
| Servery | ExpressVPN | NordVPN |
|---|---|---|
| Počet serverů v ČR | Neznámý (automatický výběr) | 90+ (zobrazeno v aplikaci) |
| Výběr serveru | Automatický (Smart Location) | Automatický z poolu |
| Typy serverů | Bez specifikace | Regular, P2P, Dedicated IP |
| Číslo serveru | Nezobrazeno | Zobrazeno (Prague #165) |
| Podporované protokoly | Lightway UDP/TCP, WireGuard, OpenVPN UDP/TCP, IKEv2 | NordLynx, OpenVPN, IKEv2 |
Politika „žádné logování“ a audity ExpressVPN
ExpressVPN má dlouhou historii nezávislých auditů. Přehled:
| Rok | Auditor | Zaměření | Odkaz |
|---|---|---|---|
| 2019 | PwC Switzerland | TrustedServer + privacy policy | expressvpn.com/blog/pwc-audits-expressvpn-servers… |
| 2022 | Cure53 | TrustedServer + Lightway security | expressvpn.com/blog/cure53-lightway-audit |
| 2022 | KPMG | No-logs policy + privacy policy | expressvpn.com/blog/kpmg-privacy-policy-cure53-trustedserver-audit |
| 2023 | KPMG | TrustedServer + no-logs | expressvpn.com/blog/kpmg-privacy-policy-audit |
| 2025 | KPMG | TrustedServer + no-logs | expressvpn.com/blog/kpmg-2025-no-logs-policy-audit |
Poslední audit KPMG proběhl v únoru 2025 a zkoumal TrustedServer technologii i no-logs politiku. Výsledek: systém je navržen tak, aby aktivní ani connection logy nebylo technicky možné uchovávat.
Reálný test ExpressVPN a soukromí – Turecko 2017
V prosinci 2016 byl při vyšetřování atentátu na ruského velvyslance v Turecku zabaven ExpressVPN server. Turečtí vyšetřovatelé nenašli žádné logy. ExpressVPN to označilo za reálný důkaz fungující no-log politiky.
ExpressVPN také pravidelně vydává Transparency Reports.
Jurisdikce – Kde ExpressVPN sídlí? Britské Panenské ostrovy (BVI)
ExpressVPN sídlí na Britských Panenských ostrovech (BVI) – samostatném zámořském území Velké Británie s vlastním zákonodárstvím, vlastním soudem a vlastní policií. Klíčové:
- BVI není součástí žádné zpravodajské aliance (Five Eyes, Nine Eyes, Fourteen Eyes)
- BVI nemá zákony o povinném uchovávání dat
- Zahraniční vláda musí žádat přes BVI Nejvyšší soud – a online aktivity jsou v BVI jen stěží trestné
Na papíře jde o srovnatelnou jurisdikci s Panamou (NordVPN). V praxi je výchozí pozice stejná: technicky neexistující logy = nic k vydání.
Vlastní ExpressVPN – Kape Technologies
V září 2021 koupila ExpressVPN společnost Kape Technologies za 936 milionů dolarů, což byla největší akvizice v historii VPN průmyslu. Kape vlastní také CyberGhost, Private Internet Access a ZenMate. Kape má kořeny ve společnosti Crossrider, která v minulosti provozovala adware platformu, ta byla zneužívána třetími stranami k šíření malware, ačkoli Kape/Crossrider roli prostředníka, nikoliv původce.
Co to znamená v praxi pro uživatele ExpressVPN:
- Technická infrastruktura a no-log politika zůstávají nezměněny a jsou pravidelně auditovány
- Provoz ExpressVPN zůstává oddělený od ostatních Kape produktů
- Část uživatelů po akvizici přešla jinam – jde o legitimní obavu, ne hysteriku
- Audity KPMG z let 2022, 2023 a 2025 proběhly po akvizici a potvrdily no-log politiku
TrustedServer – RAM-only technologie
ExpressVPN jako jeden z prvních na trhu (2019) přešel na RAM-only servery pod názvem TrustedServer. Každý restart serveru smaže veškerá data tj. nic se nezapisuje na disk. Technologie byla auditována Cure53 (2022) i PwC (2019). Lightway protokol je navíc open-source, takže celý zdrojový kód je veřejně dostupný a auditovatelný kýmkoli.
Celkové výsledky a hodnocení důkladného testu bezpečnosti u ExpressVPN
| Test | Výsledek | Hodnocení |
|---|---|---|
| IP adresa (IPv4) | ✅ Skryta | 5/5 |
| IP adresa (IPv6) | ✅ Nedetekovana | 5/5 |
| DNS leak | ✅ Bez úniku (IPXO, Praha) | 5/5 |
| WebRTC leak | ⚠️ No Local IP Leak, varování o neshodě IP | 4/5 |
| Kill switch (Network Lock) | ✅ Globální, okamžitá reakce | 5/5 |
| Celkem | 24/25 |
Shrnutí
ExpressVPN na českém serveru obstál ve všech klíčových testech soukromí. DNS čistý, IP skryta, IPv6 blokována. Network Lock je globální kill switch – výrazně lepší řešení než Apps Kill Switch u NordVPN na macOS. WebRTC zobrazilo varování o neshodě IP způsobené load balancingem tj. nejde o únik, ale moje varování tam je.
Kontext okolo Kape Technologies je legitimní téma, aneb každý uživatel by o něm měl vědět a rozhodnout se sám. Audity KPMG z roku 2025 ale potvrdily, že technická stránka věci funguje.
Silné stránky ExpressVPN
- Network Lock – globální kill switch na macOS (lepší než NordVPN)
- TrustedServer – RAM-only servery, open-source Lightway protokol
- BVI jurisdikce – mimo všechny zpravodajské aliance
- Audity KPMG 2022, 2023, 2025 – po akvizici Kape
- Reálný test v Turecku 2017 – žádné logy k vydání
Slabé stránky ExpressVPN
- WebRTC varování o neshodě IP (load balancing)
- Kape Technologies jako vlastník – část komunity to považuje za problém
- V aplikaci nejsou vidět počty serverů ani čísla – méně transparentní než NordVPN
Doporučuji pro: uživatele kteří potřebují globální kill switch na macOS, uživatele hledající ověřenou no-log politiku s RAM-only technologií. Nedoporučuji pro: uživatele kteří mají výhrady k vlastnictví Kape Technologies, nebo kteří chtějí detailní přehled serverové infrastruktury v aplikaci.
Testováno: 20. 2. 2026 | Zařízení: MacBook Pro M1 Max | Připojení: Wi-Fi 100/20 Mbps | Lokalita: Praha, ČR | Protokol: Lightway | Server: Czech Republic – Praha
Nejčastější dotazy týkající se bezpečnosti
Prošel ExpressVPN testem DNS leak?
Ano, čistě. Extended test na dnsleaktest.com proběhl v 6 kolech, 5–6 serverů v každém kole – všechny patřily IPXO v Praze. Žádný ISP server se neobjevil.
Jak funguje Network Lock na macOS?
Network Lock zablokuje veškerý internetový provoz v momentě výpadku VPN – bez výjimky, okamžitě. V testu ping na 8.8.8.8 přestal procházet od sekundy 13. Na rozdíl od NordVPN, který na macOS chrání jen vybrané aplikace, Network Lock blokuje celý internet globálně.
Zobrazilo se při WebRTC testu nějaké varování?
Ano – výsledek byl „No Local IP Leak“, tedy skutečná lokální IP neunikla. Objevilo se ale varování o neshodě IP adres. Jde o důsledek load balancingu – ExpressVPN používá v ČR pool adres ze stejného rozsahu a různé požadavky mohou dostat různou IP. Nejde o únik dat.
Kolik serverů má ExpressVPN v České republice?
Aplikace ani web přesný počet nezveřejňuje. ExpressVPN zobrazuje Czech Republic jako jednu lokalitu a server vybírá automaticky přes Smart Location. Na webu expressvpn.com/vpn-server je potvrzena podpora všech protokolů – Lightway UDP/TCP, WireGuard, OpenVPN UDP/TCP a IKEv2.
Je ExpressVPN bezpečný i po akvizici Kape Technologies?
Technicky ano – audity KPMG z let 2022, 2023 a 2025 (všechny po akvizici) potvrdily funkční no-log politiku a RAM-only TrustedServer technologii. Každý restart serveru smaže veškerá data. Kontext Kape Technologies je legitimní téma které každý uživatel zvážit sám – technická stránka věci ale zůstává nezměněna a pravidelně ověřována.
Máte otázku kterou jsem v článku nezodpověděl? Napište do komentářů, rád odpovím. A pokud vás zajímá ExpressVPN nebo VPNkách obecně, mrkněte na další články níže.
- Špehuje Váš váš iPhone? Můj brutální test ExpressVPN!
- ExpressVPN Advanced Protection: Vypněte reklamy navždy!
- ExpressVPN: Přehled žádostí o data 2Q 2025 – 1,3 milionu DMCA žádostí
- Srovnání cen a tarifů ExpressVPN: Basic, Advanced nebo Pro?
- Recenze ExpressVPN pro iPhone: Můj test a zkušenosti ✅
Vaše komentáře
Zatím nejsou žádné komentáře… Buďte první, kdo ho napíše.
Přispějte svým komentářem
